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内 容 提要 


Docker 是 一 个 开源 的 应 用 容 屁 3 引擎， 开发 者 可 以 利用 Docker 打 包 自 己 
的 应 用 以 及 依赖 包 到 一 个 可 移植 的 容器 中 ， 然 后 发 布 到 任何 流行 的 
Linux 机 右上 上， 也 可 以 实现 虚拟 化 。 


本 书 由 Docker 公 司 前 服务 与 支持 副 总 裁 James Turnbull 编 写 ， 是 权威 的 
Docker 开 发 指南 。 本 书 专注 于 Docker 1.9 及 以 上 版 本 ， 指 导读 者 完成 
Docker 的 安装 、 部 署 、 管 理 和 扩展 ， 吾 领 读者 经 历 从 测试 到 生产 的 整 
个 开发 生命 周期 ， 让 读者 了 解 Docker 适 用 于 什么 场景 。 书 中 先 介 绍 
Docker 及 其 组 件 的 基础 知识 ， 然 后 介绍 用 Docker 构 建 容 絮 和 服务 来 完 
成 各 种 任务 ， 利 用 Docker 为 新 项 目 建 立 测 斌 环境， 演示 如 何 使 用 持续 
集成 的 工作 流 集 成 Docker， 如 何 构 建 应 用 程序 服务 和 平台 ， 如 何 使 用 
Docker 的 API， 如 何 扩展 Docker ° 


人 员 了 阅读 。 


RASS A 


Docker 来 了 ! 突然 发 现 曾经 顶礼 膜拜 的 Hypervisor 虚 拟 化 已 处 于 被 整个 
颠覆 的 晤 崖 边 绿 ，Docker 容 器 技术 的 直接 虚拟 化 不 仅 在 技术 方面 使 
CPU 利用 率 得 到 显著 提升 ， 还 因 80:20 法 则 可 在 业务 上 更 大 程度 发 挥 
CPU 利 用 率 ， 而 恰恰 后 者 才 真 正体 现 了 虚拟 化 之 精髓 ! 这 本 书 用 了 大 
量 简短 可 操作 的 程序 实例 介绍 Docker 的 工作 原理 ， 几 乎 页 页 都 是 满 满 
的 代码 和 干货， 程序 员 读 者 可 跟着 这 些 例子 目 己 动手 玩 转 Docker， 这 真 
是 一 部 专 为 程序 员 写 的 好 书 ! IT 行业 如 此 “ 昨 嫌 紫 莽 长 ， 今 怜 破 只 
R”, RIEKIE? 还 等 什么 ， 赶 紧 开始 知识 更 新 吧 ， 别 让 你 的 知识 
技能 这 一 看 家 本 领 也 被 颠 履 本 ! 


毛 文 波 ， 道 里 云 CEO， 
曾 创 建 EMC 中 国 实验 室 并 担任 首席 科学 家 ， 曾 参与 创建 HP 中 国 实验 室 


Docker 征 什么 ? 它 有 什么 用 ? 为 什么 号 边 的 程序 员 都 在 谈论 这 个 新 兴 
的 开源 项 目 ? 


Docker 是 轻 量 级 容 絮 管理 引擎 ， 它 的 出 现 为 软件 开发 和 云 计 算 平 台 之 
间 建 立 了 桥梁 。Docker 将 成 为 互联 网 应 用 开发 领域 最 重要 的 平台 级 技 
术 和 标准 。 这 本 书 由 曾 任职 于 Docker 公 司 的 资深 工程 师 编 写 ， 由 国内 
社区 以 最 快 的 速度 完成 翻译 ， 是 学 习 Docker 的 最 佳 入 门 书籍 。 如 果 你 
Ae 己 的 代码 运行 在 云端 的 程序 员 ， 现 在 就 开始 学 习 
Docker 吧 | 


一 一 喻 勇 ，DaoCloud 联 合 创始 人 


Docker 的 核心 价值 在 于 ， 它 很 有 可 能 改变 传统 的 软件 “交付 ”方式 和 “ 运 
行 ” 方 式 。 传 统 的 交付 源码 或 交付 软件 包 的 方式 的 最 大 问题 在 于 ， 软 件 
运行 期 间 所 “依赖 的 环境 ”是 无 法 控制 、 不 能 标准 化 的 ，IT 人 员 第 常 需 
要 耗费 很 多 精力 来 解决 因为 “依赖 的 环境 ”而 导致 软件 运行 出 现 的 各 种 
问题 。 而 Docker 将 软件 与 其 “依赖 的 环境 ”打包 在 一 起 ， 以 镜像 的 方式 


交付 ， 让 软件 运行 在 “标准 的 环境 "中 ， 这 非常 符合 云 计算 的 要 求 。 这 
种 变革 一 旦 为 IT 人 员 接 受 ， 可 能 会 对 产业 链 带 来 很 大 的 冲击 。 我 们 熟 
悉 的 apt -get 和 yum 是 否 会 逐渐 被 docker pull WRR? 


有 了 标准 化 的 运行 环境 ， 加 上 对 CPU、 内 存 、 网 络 等 动态 资源 的 限 
制 ，Docker 构 造 了 一 个 “ 轻 量 虚拟 环境 *"， 传 统 虚 拟 机 的 绝 大 多 数 使 用 
场景 可 以 被 Docker 取 代 ， 这 将 给 IT 基础 设施 带 来 一 次 更 大 的 冲击 ; 
KVM、ZEN、VMWare 将 会 何去何从 ? 此 外 ，Docker 秒 级 创建 /删除 虚 
拟 机 及 动态 调整 资源 的 能 力 ， 也 非常 契合 云 计算 “实例 水 平 扩展 ， 资 源 
动态 调整 * 的 需求 ，Docker 很 有 可 能 成 为 云 计 算 的 基石 。 


正 是 因为 Docker 将 对 传统 IT 技 术 市 来 上 述 两 种 “ 章 命 性 ”的 冲击 ， 所 以 
我 们 看 到 围绕 Docker 的 创业 项 目 如 火 如 茶 。I 卫 从 业 人 员 应 该 及 早 拥抱 
Docker， 拥 抱 变化 。 阅 读本 书 束 是 最 佳 入 门 途 径 。 


陈 轶 飞 ， 原 百度 Paas 平 台 负 责 人 ， faa cecal 


Docker 今 天 已 经 算是 明星 技术 了 ， 各 种 技术 大 会 都 会 有 人 谈论 它 ， 越 
来 越 多 的 人 像 我 一 样 对 这 门 技术 着 迷 。 我 开始 关注 Docker 是 因为 当时 
主要 关注 PaaS 的 一 些 技 术 进 展 ， 当 时 PaaS 受 到 云 计算 三 层 模型 的 禁 
铀 ,诞生 很 多 非常 重型 的 解决 方案 。 我 并 不 喜欢 这 些 方案 ， 不 仅 是 因 
为 这 些 方案 复杂 ， 而 且 充 满 了 重复 造 轮子 的 自以为是 。 但 是 Docker 的 
诞生 给 我 眼前 一 亮 的 感觉 ，Docker 诞 生 时 从 技术 上 看 朋 似 没有 任何 亮 
点 : 隔离 和 资源 限定 都 是 LXC 做 的 ， 安 全 是 用 GRSec 〈 那 时 候 还 没有 
SELinux 支 持 ) ， 镜 像 文件 依赖 于 AUFS。 但 是 ， 就 是 因为 Docker 什 么 
有 技术 含量 的 活 儿 都 没 做 ， 才 显得 它 非常 干净 ， 非 常 优雅 。Docker 提 
供 了 一 种 优雅 的 方式 去 使 用 上 述 技 术 ， 而 不 是 自 顾 自 地 去 实现 这 些 已 
有 的 很 好 的 技术 ， 这 样 会 使 构建 环境 的 成 本 极 大 降低 ， 从 而 非常 有 效 
地 减少 运 维 的 复杂 性 ， 这 不 就 是 Paas 的 本 质 吗 ? 


短 短 一 年 的 时 间 过 后 ，Docker 在 中 国都 有 了 专门 的 容 右 大 会 ， 甚 至 出 

现 了 一 票 难 求 的 情况 ， 可 见 这 一 技术 不 但 在 国外 快速 地 被 社区 认同 ， 

在 国内 也 得 到 广泛 的 应 用 。 我 坚信 PaaS 的 构建 应 该 是 多 种 组 件 灵 活 搭 

配 组 合 的 ， 而 不 应 该 是 包罗 万 象 的 全 套 方 案 ，Docker 的 设计 符合 这 种 

原则 ， 这 是 我 最 为 欣赏 的 。Docker 的 发 展 异常 迅猛 ， 整 个 社区 生态 医 
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一 一 程 显 峰 ，MongoDB 中 文 社区 创始 和信， 独立 技术 顾问 


以 Docker 为 代表 的 容 右 技术 是 目前 非常 流行 的 一 类 技术 ， 对 虚拟 化 、 
云 计算 力 至 软件 开发 流程 都 有 革命 性 的 影响 。 本 书 系 统 而 义 深入 浅 出 
地 介绍 了 与 Docker 部 畴 和 应 用 相关 的 各 个 方面 ， 体 现 了 Docker 的 最 新 
进展 ， 并 附 有 大 量 详尽 的 实例 。 无 论 系 统 染 构 师 、IT 决 策 者 ， 还 古 云 
端 开 发 人 员 、 系 统管 理 员 和 运 维 人 员 ， 都 能 在 本 书 中 找到 所 需 的 天 于 
Docker 的 内 容 。 本 书 非 党 适合 作为 进入 Docker 领 域 的 第 一 本 书 。 


商 之 狄 ， 微 软 开放 技术 (中 国 ) 首席 项 目 经 理 
我 很 高 兴 能 看 到 第 一 本 引进 国内 的 Docker 技 术 书 。 这 本 书 对 于 迫切 想 


了 解 Docker 技 术 以 及 相关 工具 使 用 的 技术 爱好 者 来 说 ， 征 一 本 值得 阅 
读 的 入 门 书籍 。 


一 一 肖 德 时 ， 数 人 云 CTO 


阅读 本 书 ， 就 像 参 加 一 个 Docker 专 家 的 面授 课程 ， 书 中 包含 了 很 多 非 
党 实用 的 小 型 案例 ， 让 你 能 够 循序 渐进 地 照 着 学 习 ， 加 深 理 解 。 好 多 
示例 代码 都 可 以 拿 来 直接 在 开发 中 使 用 。James Tumbull 是 个 写 书 的 高 
手 ， 章 节 安 排 合 理 紧 凑 ， 由 浅 入 深 地 慢 慢 引领 你 理解 Docker 的 奥秘 。 
Docker 不 仅仅 是 技术 ， 更 是 一 个 生态 系统 ， 技 术 和 新 项 目 层出不穷 ， 
每 一 章 最 后 都 有 介绍 本 章 相 关 的 互联 网 项 目 〈 都 可 能 是 下 一 个 
Google) ， 这 是 最 能 体现 作者 技术 功力 的 。 无 论 你 是 哪个 行业 的 程序 
员 ， 这 本 Docker 的 书 绝对 会 让 你 受益 菲 浅 。 


荣 焊 ， 爱 立信 软件 开发 高 级 专家 


相 比 OpenStack 这 种 厂商 主导 的 开源 项 目 ，Docker 的 社区 更 具 极 客 风 
格 ， 更 加 活跃 ， 也 更 具 题 履 潜 力 。 对 Docker 本 喘 ， 已 经 不 用 我 再 多 
说 ， 只 希望 大 家 都 看 看 这 本 书 ， 并 能 积极 尝试 Docker。 纵 观 IT 行 业 历 
史 ， 大 的 技术 变革 从 来 不 是 诞生 于 大 厂商 口中 的 金 蛋 ， 而 是 一 小 氢 儿 
爱好 者 的 小 玩意 儿 ， 而 Docker 正 是 这 个 路 子 。 


— HE, Hyper 


Go 语言 是 近年 来 IT 技术 发 展 历程 中 最 伟大 的 事情 ， 而 Docker 的 出 现 则 
是 云 计 算 发 展 的 重要 里 程 碑 。 作 为 Go 语言 的 杀手 级 应 用 ，Docker 推 动 


了 Go 语言 社区 的 发 展 。 技 术 的 全 球 同 步 化 在 加 速 ， 但 非 英语 母语 一 定 
程度 制约 了 中 国 IT 技 术 的 发 展 。 这 是 一 本 Docker 团 队 成 员 据 写 的 书 ， 
古 一 份 难得 的 学 习 Docker 技 术 的 权威 教材 。 我 很 高 兴 见 到 中 文 翻译 能 
够 如 此 迅速 地 跟 进 ， 这 是 一 件 了 不 起 的 事情 。 我 很 期 每 更 多 人 能 够 通 
过 这 本 书 ， 了 解 Docker， 参 与 到 Docker 的 生态 中 ， 共 同 推进 中 国 IT 产 
业 的 进步 。 


ia 


— 许 式 伟 ， 七 牛 云 存 储 CEO，《Go 语 言 编程 》 作 者 
我 非常 喜欢 这 本 书 ， 它 弥补 了 开源 项 目 通 党 缺失 的 文档 部 分 。 书 中 涉 
及 从 安 狠 到 入 门 到 业务 场景 下 的 各 种 应 用 及 开发 。 本 书 作 者 的 权威 性 
以 及 译 者 的 专业 态度 也 保证 了 这 本 书 的 严谨 性 。 这 本 书 非常 适合 广大 
的 Docker 爱 好 者 阅读 。 


一 一 杜 玉 杰 ，OpenStack 基 金 会 董事 


序 


听 到 《第 一 本 Docker 书 》 要 根据 原版 更 新 出 版 修订 版 的 消 忠 ， 感 慨 国 
内 计算 机 方面 书籍 的 技术 出 版 已 经 非常 专业 ， 在 书籍 选择 和 翻译 上 都 
很 用 心 ， 感谢 杨 海 玲 编辑 为 这 本 书 的 出 版 所 做 的 巨大 努力 ， 这 本 书 为 
国内 的 Docker 技 术 普 及 提供 了 莫大 的 帮助 。 


从 本 书 的 第 一 版 发 行 到 现在 ， 容 器 社区 出 现 了 翻天 覆 地 的 变化 。 
Docker 昌 然 是 目前 容 禹 社区 的 最 大 顾家 ， 有 征 很 多 用 户 使 用 容 秀 的 衣 
选 ， 但 从 1.9 版 本 开始 它 逐 渐 移 除了 对 其 他 容 吉 解决 方案 的 文 持 。 以 前 
进入 容 秀 社区 时 宣讲 的 容 秀 引擎 不 复 存 在 ， 随 之 而 来 的 是 更 多 商业 因 
素 参 杂 的 一 个 开源 项 目 。 如 果 Docker 公 司 有 幸 成 功 ， 我 们 将 有 机 会 见 
证 在 云 时 代 一 个 开源 创业 公司 如 何 成 为 商业 领域 的 成 功 者 ， 也 为 国内 
的 创业 者 指出 了 一 条 可 行 的 路 径 。 但 如 今 这 个 时 代 ， 任 何 行业 、 任 何 
形式 的 垄断 不 是 被 摧毁 束 是 在 被 打破 的 过 程 中 。 容 大生 态 中 的 每 一 个 
成 员 ， 都 期 竺 着 在 一 个 开放 的 体系 中 获取 目 己 的 位 置 ， 获 取 应 得 的 利 
益 。 商 业 就 是 如 此 残酷 的 游戏 ， 连 OpenStack 这 样 庞大 的 生态 ， 都 会 对 
容 需 的 快速 发 展 带 来 的 威胁 不 寒 而 栗 。 


在 Linux 基 金 会 的 运作 下 ，OCI (Open Container Initiative) 和 CNCF 
(Cloud Native Computing Foundation) 两 个 组 织 相 继 成 立 。 他 们 负责 
的 领域 组 成 了 以 容器 为 核心 的 技术 栈 ， 在 重新 定义 Linux 容 需 各 种 标准 

的 同时 ， 通 过 Kubernetes 这 样 的 优秀 项 目 为 业界 提供 使 用 容 需 的 最 佳 
实践 。 很 多 从 业者 意识 到 ， 单 一 容 丹 或 单一 服务 器 的 一 组 容 怖 都 不 再 
是 关注 的 重点 ， 如 何 通过 云 原生 应 用 (Cloud Native Application) 和 微 
服务 框架 (Microservice Framework) , EROZIA Aaa Sea 
为 商业 成 功 黄 定 技术 基础 才 是 核心 。Docker Swarm 作为 Google 
Kubermetes 的 唯一 竞争 对 手 ， 关 于 它 的 内 容 是 本 书 读者 最 需要 天 注 

的 ， 正 确 选 择 容器 编排 调度 工具 比 选 择 容器 引擎 更 为 天 键 。 容 器 相关 
标准 不 断 发 布 ， 所 有 容器 相关 的 各 种 工具 都 会 根据 标准 修改 自己 的 接 
口 ， 生 态 环 境 会 随 之 更 加 开放 和 健壮 。 


开源 不 再 是 以 往 自由 软件 (Free Software) 的 精神 ， 而 是 如 今 商业 社 
会 的 重要 组 成 部 分 。 在 华为 内 部 一 个 大 型 技术 会 议 上 的 演讲 ， 我 用 如 
下 的 论断 作为 结束 语 ， 也 期 竺 给 本 书 的 读者 市 来 一 点 启示 : 

AAR, DES” 

TES: 不 商业 。 


一 一 马 全 一 ， 资 深 架 构 师 ， 开 源 技 术 专 家 


Ri Ete Aas HCH AE 


如 果 你 是 一 位 技术 爱好 者 ， 时 刻 关 心 业 界 最 新 动态 ， 那 么 最 近 一 定 没 
少 听 说 Docker 吧 ， 这 绝对 是 在 技术 圈 线 上 线 下 都 在 谈论 的 一 个 热门 话 
ji 


题 。 


说 实话 ，Docker 算 不 上 是 什么 全 新 的 技术 ， 它 基于 LXC (Linux 
Containers) ， 使 用 AUFS， 而 这 些 都 是 已 经 存在 很 长 时 间 并 被 广泛 应 
用 了 的 技术 。 但 运营 Paas 服 务 的 dotCloud 公 司 将 这 些 技 术 整 合 到 一 
起 ， 提 供 了 简单 易 用 的 跨 平台 、 可 移植 的 容器 解决 方案 。Docker 最 初 
由 dotCloud 公 司 在 2013 年 发 布 。 自 发 布 以 来 ， 其 发 展 速度 之 快 超 乎 了 
很 多 人 的 想象 ， 一 路 高 歌 猛 进 ，2014 年 6 月 终于 发 布 了 1.0 稳 定 版 ， 而 
dotCloud 2013F 10H FESTE FEKO T Docker, Inc. ° 


Docker 也 可 以 被 称 为 轻 量 级 虚拟 化 技术 。 与 传统 的 VM 相 比 ， 它 更 轻 
量 ， 局 动 速度 更 快 ， 单 台 硬 件 上 可 以 同时 跑 成 百 上 于 个 容器 ， 所 以 非 
营 适 合 在 业务 高 峰 期 通过 局 动 大 量 容 万 进 行 横 癌 扩展 。 现 在 的 云 计 算 
0 以 后 也 许 应 该 更 多 地 关注 容 


Docker 是 可 移植 (或 者 说 跨 平 台 ) 的 ， 可 以 在 各 种 主流 Linux 发 布 版 或 
者 OS X 以 及 Windows 上 (需要 使 用 boot2docker 或 者 虚拟 机 ) 使 用 。 
Java 可 以 做 到 “一 次 编译 ， 到 处 运行 ”， 而 Docker 则 可 以 称 为 “构建 一 
次 ， 在 各 平台 上 运行 ”(Build once, run anywhere) 。 


从 这 一 点 可 以 豪 不 夸张 地 说 ，Docker 是 革命 性 的 ， 它 重新 定义 了 软件 
开发 、 测 试 、 交 付 和 部 奢 的 流程 。 我 们 交付 的 东西 不 再 只 是 代码 、 配 
置 文件 、 数 据 库 定义 等 ， 而 是 整个 应 用 程序 运行 环境 : “OS+ 各 种 中 间 
件 、 类 库 + 应 用 程序 代码 ”。 


无 论 你 是 开发 人 员 、 测 试 人 员 还 是 运 维 人 员 ， 随 着 对 Docker 越 来 越 深 
入 的 了 解 ， 你 都 会 爱 上 它 。 我 们 只 需要 运行 儿 条 docker run REAL 


配置 好 开发 环境 ， 通 过 Dockerfile 或 者 Docker Hub 与 他 人 分 享 我 们 的 镜 
像 ， 与 其 他 服务 集成 ， 进 行 开 发 流程 的 目 动 化 。 


Gitlab 等 ) 。 

代码 服务 器 通过 webhook 调用 CICD 服 务 ， 如 Codeship ( 没 错 ， 
就 是 2014 年 11 月 刚 融 资 800 万 美元 的 那 家 初创 公司 ) 、Shippable、 
CircleCI 或 者 目 建 Jenkins 等 。 

CI 服务 絮 下 载 最 新 代码 ， 构 建 Docker 镜 像 ， 并 进行 测试 。 

目 动 集 成 测试 通过 之 后 ， 就 可 以 将 之 前 构建 的 镜像 推送 到 私有 
Registry 


iB 运 维 使 用 新 版 的 Docker 镜 像 进行 部 署 。 


试想 一 下 这 种 开发 流程 是 不 是 很 酷 ? 除了 工作 流程 的 目 动 化 之 外 ， 还 
能 请 除 线 上 线 下 环境 不 一 致 导致 的 问题 。 以 后 “在 我 的 机 器 上 运行 得 好 
好 的 .…….” 这 种 托 词 应 该 再 也 没 人 信 了 吧 。 


as code 而 生 的 ， 通 过 Dockerfile， 镜 像 创 建 
程 变 得 目 动 且 可 重复 ， 还 能 进行 版 本 管理 。 


Docker 是 为 不 可 变 基础 设施 (Immutable Infrastructure) 而 生 的 ， 对 无 
状态 服务 的 升级 、 部 署 将 会 更 轻便 更 简单: 我 们 无 需 再 对 它们 的 配置 
进行 修改 ， 只 需要 销毁 这 个 服务 并 重建 一 个 就 好 了 。 


Docker 也 是 为 云 计 算 而 生 的 ，Docker 的 出 现 离 不 开 云 计算 的 兴起 ， 反 
过 来 更 多 的 云 计 算 服 务 提供 商 也 都 开始 把 Docker 纳 入 目 己 的 服务 体系 
之 中 ， 比 如 了 最 近 一 个 大 事件 束 是 Google 刚 刚 发 布 了 Google Container 
Engine (alpha) 服务 ， 一 个 基于 其 开源 Docker 编 配 工具 Kubernetes 
的 “Cluster-as-a-Service”。 容 需 技 术 在 云 计算 时 代 的 重要 程度 由 此 可 见 


这 是 一 本 市 领 读 者 进入 Docker 世 界 的 入 门 书 。 阅 读本 书 除了 能 帮助 读 
考 理 解 Docker 的 基本 原理 ， 熟 练 掌握 Docker 的 各 种 常见 的 基本 控 作 之 
外 ， 还 能 帮助 读者 了 解 Docker 的 实际 应 用 场景 以 及 如 何 利 用 Docker 进 
行 开发 等 话题 ， 比 如 ， 如 何 使 用 Docker 和 Jenkins 进 行 测试 ， 如 何 对 应 
用 程序 进行 Docker 化 ， 以 及 如 何 构建 由 Node.js 和 Redis 组 成 的 多 容器 应 
用 栈 。 当 然 ， 书 中 也 不 会 乐 了 最 近 比 较 火 的 Fig 一 个 Docker 编 配 工 
具 ， 开 发 此 工具 的 公司 是 位 于 英国 伦敦 的 Orchard Laboratories， 前 段 


时 间 该 公司 刚刚 被 Docker 收 购 ， 继 续 Fig 的 开发 。 现 代 应 用 程序 都 离 不 
开 API，Docker 当 然 也 不 例外 。 在 第 8 章 中 ， 读 者 将 学 到 如 何 使 用 API 
而 不 是 Docker 命 令 来 对 Docker 镜 像 和 容器 进行 管理 。 如 果 你 也 想 为 
Docker 页 献 自己 的 力量 ， 那 么 一 定 不 能 错过 第 9 章 的 内 容 ， 这 一 章 将 会 
主要 介绍 如 何 给 Docker 提 issue， 如 何 完成 Docker 文 档 ， 以 及 如 何 构 建 
Docker 开 发 环境 和 提交 Pull Request ° 


最 后 ， 我 谨 代 表 合 译 者 李 兆 海 和 巨 震 ， 回 在 本 书 翻译 过 程 中 给 与 了 很 
大 帮助 的 一 些 人 表示 最 诚 倪 的 感谢 。Fiona GBE) 在 本 书 编写 过 程 中 
做 了 很 多 沟通 和 协调 工作 ， 也 对 很 多 术语 翻译 提出 了 建议 。 马 全 一 是 
Docker 中 文 社区 和 https:/dockercn 的 创始 人 ， 也 是 本 书 中 文 版 翻译 工 
作 的 发 起 人 。 此 外 还 有 人 民 邮 电 出 版 社 的 杨 海 玲 等 编辑 老师 ， 没 有 她 
们 的 认真 工作 ， 这 本 书 也 不 会 以 完美 的 形式 展现 在 各 位 读者 面前 。 


一 一 刘斌 


APR Te) SBE 


本 书 适 合 希望 实施 Docker 或 基于 容器 的 虚拟 化 技术 的 开发 者 、 系 统管 
理 员 和 有 意 用 DevOps 的 人 员 阅读 。 


要 阅读 本 书 ， 读 者 需要 具备 一 定 的 Linux/Unix 技 能 ， 并 熟悉 命令 行 、 
文件 编辑 、 软 件 包 安装 、 服 务 管理 和 基本 的 网 络 知识 。 


GERsg 本 书 专注 于 1.9 或 更 高 版 本 的 Docker， 该 版 本 不 与 早期 版 本 向 下 兼容 。 实 际 上 ， 在 生产 
环境 中 ， 也 推荐 使 用 1.9 或 更 高 版 本 © 


致谢 
合伙 人 及 好 友 Ruth Brown， 感 谢 你 迁就 我 进行 本 书 的 写 


感谢 Docker 公 司 的 团队 ， 感 谢 你 们 开发 出 Docker， 并 在 本 书写 作 
期 间 提供 无 私 的 帮助 。 

感谢 #docker 频 道 和 Docker 邮 件 列表 里 的 朋友 们 。 

感谢 Royce Gilbert， 感 谢 你 不 仅 提 供 超 赞 的 拉 术 插图 ， 还 为 本 书 
英文 版 设计 了 封面 。 

。 感谢 Abhinav Ajgaonkar， 感 谢 你 提供 目 己 的 Node.js 和 Express 示 例 
应 用 程序 。 

感谢 本 书 的 技术 审 校 团 了 从， 你们 让 我 时 刻 保持 头脑 清醒 ， 并 指出 
了 书 中 的 思春 错误 。 

。 P. J. Day， 感 谢 你 在 本 书 发 布 后 提供 了 极 详细 的 勘误 


本 书 中 有 3 张 配 图 是 由 Docker 公 司 提 供 的 。 


DockerIM 是 Docker 公 司 的 注册 商标 。 


技术 审 稿 人 团队 


Scott Collier 


Scott Collier 是 一 位 高 级 主任 系统 工程 师 ， 融 职 于 Red Hat 的 系统 设计 及 
工程 团队 。 该 团队 根据 从 销售 、 市 场 以 及 工程 团队 收集 到 的 数据 ， 甄 
别 并 提供 高 价值 的 解决 方案 ， 并 为 内 外 部 用 户 开发 参考 契 构 。Scott 是 
Red Hat 认 证 构架 师 (RHCA) ， 具 有 超过 15 年 的 芽 从 业经 验 ， 他 现在 
专注 于 Docker、OpenShift 以 及 Red Hat 系 列 产品 。 


除了 思考 分 布 式 构 架 之 外 ，Scott 喜 欢 跑 步 、 登 山 、 露 吝 ， 还 喜欢 陪 妻 
子 和 3 个 孩子 在 得 克 院 斯 州 的 奥斯汀 吾 受 烧烤 。 他 的 技术 文章 以 及 相关 
信息 可 以 在 http://colliernotes.com 上 找到 。 


John Ferlito 


John 是 一 位 连续 创业 者 ， 同 时 也 是 高 可 用 性 、 可 扩展 性 基础 设备 专 

家 。John 现 在 在 自己 创建 的 Bulletproof 公 司 担 任 CTO， 这 是 一 家 提供 关 
cll ARS PA, MEET, Johnie EEL A LARS WV quences 
HAJHJCTO ° 


在 空 闪 时 间 ，John 投 身 自由 及 开源 软件 (Free and Open Source Soft, 
FOSS) 社区 。 他 是 linux.conf.au 2007 会 议 的 联合 发 起 人 ， 也 是 2007 年 
悉尼 Linux 用 户 委 员 会 (Sydney Linux User Group, SLUG) 的 委员 。 
他 做 过 大 量 的 开源 项 目 ， 如 Debian、Ubuntu、Puppet 以 及 Annodex 套 
件 。 读 者 可 以 在 他 的 个 人 博客 (http://inodes.org/blog) 上 查看 他 的 文 
John 拥 有 新 南 威尔士 大 学 的 工程 学 士 采 誉 学 位 (计算 机 科学 


Paul Nasrat 


Paul Nasrat 束 职 于 Google 公 司 ， 是 一 位 网 站 可 靠 性 工程 师 ， 同 时 也 是 
Docker 的 页 献 者 。 他 在 系统 工程 领域 做 了 大 量 的 开源 工具 ， 包 括 局 动 
加 载 萎 、 包 管理 以 及 配置 管理 等 。 


Paul 做 过 各 种 系统 管理 和 软件 开发 的 工作 。 他 曾 在 Red Hat 担 任 软 件 工 
程 师 ， 还 在 ThoughtWorks 公 司 担任 过 基础 设备 专家 级 顾问 。Paul 在 各 


种 大 会 上 做 过 演讲 ， 既 有 DevOps 活 动 早期 在 2009 年 敏捷 大 会 上 关于 敏 
捷 基 础 设备 的 演讲 ， 也 有 在 小 型 案 会 和 会 议 上 的 演讲 。 


技术 插图 作家 


Royce Gilbert (ksuroyce@yahoo.com) 是 本 书 技 术 插 图 的 作者 ， 在 他 
超过 30 年 的 从 业经 验 中 ， 他 做 过 CAD 设 计 、 计 算 机 支持 、 网 络 技 术 、 
项 目 管理 ， 还 曾 为 多 家 世界 500 强 企业 提供 商务 系统 分 析 ， 包 括 安然 
ay ` tH (Compaq) 、 科 氏 (Koch) 和 阿 莫 科 (Amoco) 集 
° Royce 在 位 于 堪 防 斯 州 曼 附 顿 的 堪 术 斯 州立 六 学 担任 系统 / 业 业务 分 
析 员 o 他 业余 时 间 在 目 己 的 Royce 艺 术 工 作 宇 进行 创作 ， 是 一 位 独立 
也 林家 和 技术 插画 家 。 他 和 38 岁 的 妻子 在 堪萨斯 州 的 弗 林 特 山上 修复 
了 一 间 有 127 年 历史 的 石头 老 屋 ， 并 以 此 为 居所 ， 过 着 平静 的 生活 。 


校对 者 


Q 女 十 在 纽约 地 区 长 大 ， no cul! ` 纸杯 蛋糕 冷冻 师 、 业 余 科 
学 家 、 法 医 人 类 学 家 ， 还 是 一 名 灾难 应 急 专 家 。 她 现 拓 旧 人 金山， 制作 
音乐 ， 人 研究 表演 ， 整 理 ng-newsletter [1 ， 并 负责 照顾 Stripe 公 司 的 名 


ys 
iit e 


排版 约定 
这 是 行内 代码 语句 : inline code statement 。 
下 面 是 代码 块 : 
代码 清单 0-1 示例 代码 块 


This is a code block 


过 长 的 代码 行 会 换行 。 


代码 及 示例 


读者 可 以 在 http://www.dockerbook.com/code/index.html 获取 本 书 的 代码 
和 示例 程序 ， 也 可 以 从 GitHub (https://github.com/jamtur01/dockerbook- 
code ) 签 出 。 


说 明 
本 书 英 文 原版 是 用 Markdown 格 式 写 的 ， 同 时 也 使 用 了 大 量 的 LaTeX 格 


式 的 标记 符号 ， 然 后 用 PanDoc 转 成 PDF 和 其 他 格式 (还 使 用 了 
Backbone.js on Rails [H 那 帮 好 兄弟 写 的 脚本 ) 。 


勘误 


如 宋 读 者 发 现任 何 错误 ， 请 用 电子 邮件 与 我 联系 ， 我 的 邮箱 坪 


jamesterrata@ lovedthanlost.net ° 


版 本 


本 书 是 The Docker Book 一 书 v1.9.1 版 的 中 文 版 。 


[1] [http://www.ng-newsletter.com/](http://www.ng-newsletter.com/) 


[2]  [https://learn.thoughtbot.com/products/1-backbone-js-on-rails] 
(https://learn.thoughtbot.com/products/1-backbone-js-on-rails) 


第 1 章 简介 


在 计算 世界 中 ， 容 右 拥 有 一 段 漫长 且 传 奇 的 历史 。 容 器 与 管理 程序 虚 
拟 化 (hypervisor virtualization, HV) 有 所 不 同 ， 管 理 程序 虚拟 化 通过 
中 间 层 将 一 台 或 多 台独 立 的 机 器 虚拟 运行 于 物理 硬件 之 上 ， 而 容 融 则 
是 直接 运行 在 操作 系统 内 核 之 上 的 用 户 空间 。 因 此 ， 容 需 虚 拟 化 也 被 
称 为 “操作 系统 级 虚拟 化 "， 容 器 技术 可 以 让 多 个 独立 的 用 户 空间 运行 
在 同一 台 答 主机 上 。 


由 于 “客居 ”于 操作 系统 ， 容 器 只 能 运行 与 底层 牡 主 机 相同 或 相似 的 操 
作 系 统 ， 这 看 起 来 并 不 是 非常 灵活 。 例 如 ， 可 以 在 Ubuntu 服 务 器 中 运 
行 RedHat Enterprise Linuxz， 但 却 无 法 在 Ubuntu 服务 右上 运行 Microsoft 
Windows。 


虚拟 化 ， 容 器 被 认为 是 不 安全 的 。 而 反对 
一 观点 的 人 则 认为 ， 由 于 虚拟 机 所 虚拟 的 是 一 个 完整 的 操作 系统 ， 
AERA TIETE 而 且 还 要 考虑 管理 程序 层 潜在 的 暴露 风险 。 


尽管 有 诸多 局 限 性 ， 容 器 还 是 被 广泛 部 署 于 各 种 各 样 的 应 用 场合 。 在 
超大 规模 的 多 租户 服务 部 署 、 轻 量 级 沙 盒 以 及 对 安全 要 求 不 太 高 的 隔 
离 环 境 中 ， 容 恬 技 术 非 常 流 行 。 最 常见 的 一 个 例子 驶 是 “权限 隔离 监 
牢 ”(chroot jail) ， 它 创建 一 个 隔离 的 目录 环境 来 运行 进程 。 如 果 权 限 
隔离 监牢 中 正在 运行 的 进程 被 入 侵 者 攻破 ， 入 侵 者 便 会 发 现 目 己 “ 号 陷 
目录 中 ， 无 法 对 答 主 机 进行 进 


最 新 的 容器 技术 引入 了 OpenVZ、Solaris Zones 以 及 Linux 容 器 (如 

lxc) 。 使 用 这 些 新 技术 ， 容 器 不 再 仅仅 是 一 个 单纯 的 运行 环境 。 在 ” 

己 的 权限 范围 内 ， 容器 证 像 是 一 个 党 整 的 宿主 机 。 对 Docker 来 说 ， 它 

得 益 于 现代 Linux 内 核 特 性 ， 如 控件 组 (control group) 、 命 名 空间 
(namespace) 技术 ， 容 需 和 宿主 机 之 间 的 隔离 更 加 彻底 ， 容 器 有 独立 


的 网 络 和 存储 栈 ， 还 拥有 目 己 的 资源 管理 能 力 ， 使 得 同一 台 窒 主机 中 
的 多 个 容器 可 以 友好 地 共存 。 


容器 经 常 被 认为 是 精益 技术 ， 因 为 容 右 需要 的 开销 有 限 。 和 传统 的 虚 
拟 化 以 及 半 虚 拟 化 (paravirtualization) 相 比 ， 容 器 运行 不 需要 模拟 层 

(emulation layer) 和 管理 层 (hypervisor layer) ， 而 是 使 用 操作 系统 
的 系统 调用 接口 。 这 降低 了 运行 单个 容 右 所 需 的 开销 ， 也 使 得 宿主 机 
中 可 以 运行 更 多 的 容器 。 


尽管 有 着 光辉 的 历史 ， 容 融 仍 未 得 到 广泛 的 认可 。 一 个 很 重要 的 原因 
Dire Baie RAR ARTE: RREAN, DORR, EEM H 
动 化 也 很 困难 。 而 Docker 就 是 为 改变 这 一 切 而 生 。 


1.1 Docker 简介 


Docker 是 一 个 能 够 把 开发 的 应 用 程序 自动 部 署 到 容 絮 的 开源 3 引擎。 由 
Docker 公 司 (www.docker.com， 前 dotCloud 公 司 ，PaaS 市 场 中 的 老牌 
提供 商 ) 的 团队 编写 ， 基 于 Apache 2.0 开 源 授权 协议 发 行 。 


EIJ 顺便 披露 一 个 小 新 闻 : 作者 本 人 目前 


1 是 Docker 公 司 的 顾问 。 
那么 Docker 有 什么 特别 之 处 呢 ? Docker 在 虚拟 化 的 容器 执行 环境 中 增 
加 了 一 个 应 用 程序 部 署 引 警 。 该 引 敬 的 目标 就 是 提供 一 个 轻 量 、 快 速 
的 环境 ， 能 够 运行 开发 者 的 程序 ， 并 方便 高 效 地 将 程序 从 开发 者 的 笔 
记 本 部 署 到 测试 环境 ， 然 后 再 部 署 到 生产 环境 。Docker 极 其 简洁 ， 它 
所 需 的 全 部 环境 只 是 一 人 台 仅 仅 安装 了 兼容 版 本 的 Linux 内 核 和 二 进 制 文 
件 最 小 限 的 宿主 机 。 而 Docker 的 目标 束 是 要 提供 以 下 这 些 东 西 。 


1.1.1 提供 一 个 简单 、 轻 量 的 建 模 方式 


Docker 上 手 非 常 快 ， 用 户 只 需要 几 分 钟 ， 就 可 以 把 目 己 的 程序 “Docker 
化 ”(Dockerize) 。Docker 依 赖 于 “ 写 时 复制 ”(copy-on-write) 模型 ， 
使 修改 应 用 程序 也 非常 迅速 ， 可 以 说 达到 了 “随心 所 至 ， 代 码 即 改 * 的 


境界 。 


随后 ， 就 可 以 创建 容器 来 运行 应 用 程序 了 。 大 多 数 Docker 容器 只 需 不 
到 1 秒 钟 即 可 启动 。 由 于 去 除了 管理 程序 的 开销 ，Docker 容 器 拥有 很 
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尽 可 能 充分 地 利用 系统 资源 。 


1.1.2 ”职责 的 逻辑 分 离 


使 用 Docker， 开 发 人 员 只 需要 关心 容器 中 运行 的 应 用 程序 ， 而 运 维和 人 
员 只 需要 关心 如 何 管理 容器 。Docker 设 计 的 目的 就 是 要 加 强 开 发 人 员 
写 代码 的 开发 环境 与 应 用 程序 要 部 嗜 的 生产 环境 的 一 致 性 ， 从 而 降低 
那 种 “开发 时 一 切 都 正 甫 ， 肯 定 是 运 维 的 问题 "的 风险 。 


1.1.3 快速、 高效 的 开发 生命 周期 

Docker 的 目标 之 一 就 是 缩短 代码 从 开发 、 测 斌 到 部 署 、 上 线 运 行 的 周 
期 ， 让 你 的 应 用 程序 具备 可 移植 性 ， 易 于 构建 ， 并 易于 协作 。 

1.1.4 ”鼓励 使 用 面向 服务 的 架构 


Docker 还 鼓励 面向 服务 的 架构 和 微服 务 架 构 趾 。Docker 推 荐 单个 容器 
只 运行 一 个 应 用 程序 或 进程 ， 这 样 束 形成 了 一 个 分 布 式 的 应 用 程序 模 
型 ， 在 这 种 模型 下 ， 应 用 程序 或 服务 都 可 以 表示 为 一 系列 内 部 互联 的 
容 絮 ， 从 而 使 分 布 式 部 效应 用 程序 ， 扩 展 或 调试 应 用 程序 都 变 得 非常 
简单 ， 同 时 也 提高 了 程序 的 内 省 性 。 


上 如 果 你 愿意 ， 当 然 不 必 拘 泥 于 这 种 模式 ， 你 可 以 轻松 地 在 一 个 容器 内 运行 多 个 进程 的 
应 用 程序 © 


1.2 ”Docker 组 件 
我 们 来 看 看 Docker 的 核心 组 件 : 


© Docker 客 户 端 和 服务 器 ， 也 成 为 Docker 引 警 ; 
。 Docker 镜 像 ; 
e Registry; 

。 Docker 容 器 。 


1.2.1 Docker 客 户 端 和 服务 器 


Docker 是 一 个 客户 端 /服务 器 (C/S) 架构 的 程序 。 Docker 客 户 端 只 需 
器 Docker 服 务 器 或 守护 进程 发 出 请 求 ， 服 务 器 或 守护 进程 将 完成 所 有 
工作 并 返回 结果 。Docker 守 护 进 程 有 时 也 称 为 Docker 引 警 。Docker 提 
供 了 一 个 命令 行 工具 docker 以 及 一 整套 RESTful API?! 来 与 守护 进 
程 交 互 。 用 户 可 以 在 同一 台 往 主机 上 运行 Docker 守 护 进程 和 客户 端 ， 
也 可 以 从 本 地 的 Docker 客 户 端 连 接 到 运行 在 另 一 台 宿 主机 上 的 远程 
Docker 守 护 进 程 。 图 1-1 描 绘 了 Docker 的 架构 。 


Docker Docker Docker 
客户 端 客户 端 客户 端 


Docker 守 护 进 程 


Docker 容 器 


Docker 主 机 


图 1-1 Docker 架 构 


1.2.2 ”Docker 镜 像 


镜像 是 构建 Docker 世 界 的 基石 。 用 户 基 于 镜像 来 运行 自己 的 容器 。 镜 
像 也 是 Docker 生 命 周 期 中 的 “构建 部分。 镜像 是 基于 联合 (Union) X 
件 系 统 的 一 种 层 式 的 结构 ， 由 一 系列 指令 一 步 一 步 构建 出 来 。 例 如 : 


。 添加 一 个 文件 ; 
。 执行 一 个 命令 ; 
。 打开 一 个 端口 。 
也 可 以 把 镜像 当 作 容 器 的 “ 源 代 码 ”。 镜 像 体积 很 小 ， 非 常 “ 便 携 ”， 易 


于 分 诗 、 和 存储 和 更 新 。 在 本 书 中 ， 我 们 将 会 学 习 如 何 使 用 已 有 的 镜 
像 ， 同 时 也 会 笑 试 构建 目 己 的 镜像 。 


1.2.3 Registry 


Docker 用 Registry 来 保存 用 户 构 建 的 镜像 。Registry 分 为 公共 和 私有 两 
种 。Docker 公 司 运 营 的 公共 Registry 叫 作 Docker Hub。 用 户 可 以 在 
Docker Hub 中 注册 账号 向 ， 分 享 并 保存 自己 的 镜像 。 


根据 最 新 统计 ，Docker Hub 上 有 超过 10 000 注 册 用 户 构建 和 分 享 的 镜 
像 。 需 要 Nginx Web 服 务 器 ©! 的 Docker 镜 像 ， 或 者 Asterix 开 源 PABX 系 
统 [9 的 镜像 ， 抑 或 是 MySQL 数 据 库 [1 的 镜像 ? 这 些 镜像 在 Docker 

Hub 上 都 有 ， 而 且 具 有 多 种 版 本 。 


用 户 也 可 以 在 Docker Hub 上 保存 目 己 的 私有 镜像 。 例 如 ， 包 含 源 代码 
We enc nee ears any ae 


用 户 甚至 可 以 架设 自己 的 私有 Registry。 具 体 方法 会 在 第 4 章 中 讨论 。 
私有 Registry 可 以 受到 防火 墙 的 保护 ， 将 镜像 保存 在 防火 墙 后 面 ， 以 满 
足 一 些 组 织 的 特殊 需求 。 


1.2.4 Ae 


Docker 可 以 帮 用 户 构 建 和 部 署 容 禹 ， 用 户 只 需要 把 目 己 的 应 用 程序 或 
服务 打包 放 进 容器 即 可 。 我 们 刚刚 提 到 ， 容 器 是 基于 镜像 局 动 起 来 
的 ， 容 妖 中 可 以 运行 一 个 或 多 个 进程 。 我 们 可 以 认为 ， 镜像 是 Docker 
生命 周期 中 的 构建 或 打包 阶段 ， 而 容 絮 则 是 启动 或 执行 阶段 。 


RER, Dockers Hie: 


。 一 个 镜像 格式 ; 
。 一 系列 标准 的 操作 ; 
。 一 个 执行 环境 。 


Docker Bias J PES FSH BL o 标准 集装箱 将 货物 运往 世界 各 地 ， 
Docker 将 这 个 模型 运用 到 目 己 的 设计 大 学 中 ， 唯 一 不 同 的 是 : 集装箱 
运输 货物 ， 而 Docker 运 输 软 件 。 


每 个 容 右 都 包含 一 个 软件 镜像 ， 也 就 是 容器 的 “货物 ”"， 而 且 与 真正 的 
货物 一 样 ， 容 占 里 的 软件 镜像 可 以 进行 一 些 操 作 。 例 如 ， 镜 像 可 以 被 
BE ` FAB KRA ` EA AKAS 。 
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了 什么 ， 它 不 管 里 面 是 web 服务器 ， 还 是 数据 库 ， 或 者 是 应 用 程序 服 
务 器 什么 的 。 所 有 容 如 部 按照 相同 的 方式 将 内 容 “ 沪 载 ” 进 去 。 


Docker 也 不 关心 用 户 要 把 容器 运 到 何方 ， 用 户 可 以 在 自己 的 笔记 本 中 
构建 容器 ， 上 传 到 Registry， 然 后 下 载 到 一 个 物理 的 或 者 虚拟 的 服务 器 
来 测试 ， 再 把 容器 部 署 到 Amazon EC2 主 机 的 集群 中 去 。 像 标准 集装箱 
一 样 ，Docker 容 需 方 便 蔡 换 ， 可 以 琶 加 ， 易 于 分 发 ， 并 且 尽 量 通用 。 


使 用 Docker， 可 以 快速 构建 一 个 应 用 程序 服务 器 、 一 个 消息 总 线 、 一 
套 实 用 工具 、 一 个 持续 集成 (continuous integration, CI) 测试 环境 或 
者 任意 一 种 应 用 程序 、 服 务 或 工具 。 可 以 在 本 地 构建 一 个 完整 的 测试 
环境 ， 也 可 以 为 生产 或 开发 快速 复制 一 套 复 杂 的 应 用 程序 栈 。 可 以 
说 ，Docker 的 应 用 场景 相当 广泛 。 


1.3 ”能 用 Docker 做 什么 


那么 ， 为 什么 要 关注 Docker 或 容 需 技术 呢 ? 前 面 已 经 简单 地 讨论 了 容 
句 提 供 的 隔离 性 ， 结 论 是 ， 容 絮 可 以 为 各 种 测试 提供 很 好 的 沙 盒 环 
境 。 并 有 旦 ， 容 絮 本 身 束 具有 “标准 性 ”的 特征 ， 非 常 适合 为 服务 创建 构 
建 块 。Docker 的 一 些 应 用 场景 如 下 。 


。 加速 本 地 开发 和 构建 流程 ， 使 其 更 加 高 效 、 更 加 轻 量 化 。 本 地 开 
发 人 员 可 以 构建 、 运 行 并 分 享 Docker 容 器 。 容 器 可 以 在 开发 环境 
中 构建 ， 然 后 轻松 地 提交 到 测试 环境 中 ， 并 最 终 进入 生产 环境 。 
能 够 让 独立 服务 或 应 用 程序 在 不 同 的 环境 中 ， 得 到 相同 的 运行 结 
8 回 服务 的 架构 和 重度 依赖 微型 服务 的 部 署 中 尤其 
>= o 

用 Docker 创 建 隔离 的 环境 来 进行 测试 。 例 如 ， 用 Jenkins CI 这 样 的 
寺 续 集成 工具 启动 一 个 用 于 测试 的 容 絮 。 

Docker 可 以 让 开发 者 先 在 本 机 上 构建 一 个 复杂 的 程序 或 架构 来 进 
行 测 试 ， 而 不 是 一 开始 就 在 生产 环境 部 署 、 测 试 。 

构建 一 个 多 用 户 的 平台 即 服 务 (PaaS) 基础 设施 。 

为 开发 、 测 试 提供 一 个 轻 量 级 的 独立 沙 盒 环境 ， 或 者 将 独立 的 沙 
盒 环境 用 于 技术 教学 ， 如 Unix shell 的 使 用 、 编 程 语言 教学 。 
提供 软件 即 服务 (SaaS) 应 用 程序 。 

。 高 性 能 、 超 大 规模 的 牡 主机 部 署 。 


本 书 为 读者 提供 了 一 个 基于 和 围绕 Docker 生 态 环境 构建 的 早期 项 目 列 
表 ， 详 情 请 查看 http://blog.docker.com/2013/07/docker-projects-from-the- 
docker-community/ ° 


1.4 Docker 与 配置 管理 


从 Docker 项 目 公布 以 来 ， 已 经 有 大 量 关 于 “哪些 配置 管理 工具 适用 于 
Docker” 的 讨论 ， 如 Puppet、Chef。Docker 包 含 一 套 镜 像 构建 和 镜像 管 
理 的 解决 方案 。 现 代 配 置 管理 工具 的 原动力 之 一 就 是 “黄金 镜像 ”模型 
[8] 。 然 而 ， 使 用 黄金 镜像 的 结果 就 是 充 扩 了 大 量 、 无 管理 状态 的 镜 
像 : 已 部 署 或 未 部 署 的 复杂 镜像 数量 庞大 ， 版 本 状态 混乱 不 堪 。 随 着 
镜像 的 使 用 ， 不 确定 性 飞速 增长 ， 环 境 中 的 混乱 程度 急剧 膨胀 。 镜 像 
本 身 也 变 得 越 来 越 麻 重 。 最 线 不 得 不 手动 修正 镜像 中 不 符合 设计 和 难 
以 管理 的 配置 层 ， 因 为 底层 的 镜像 缺乏 适当 的 灵活 性 。 


与 传统 的 镜像 模型 相 比 ，Docker 束 显得 轻 量 多 了 : 镜像 是 分 层 的 ， 可 
以 对 其 进行 迅速 的 迭代 。 数 据 表明 ，Docker 的 这 些 特性 确实 能 够 减轻 
许多 传统 镜像 管理 中 的 磋 烦 。 现 在 还 难以 确定 Docker 是 否 可 以 完全 取 
代 配 置 管理 工具 ， 但 是 从 需 等 性 和 内 省 性 来 看 ，Docker 确 实 能 够 获得 
非常 好 的 效果 。Docker 本 喘 还 是 需要 在 主机 上 进行 安装 、 管 理 和 部 署 
的 。 而 主机 也 需要 被 管理 起 来 。 这 样 ，Docker 容 絮 需 要 编 配 、 管 理 和 


部 署 ， 也 经 常 需要 与 外 部 服务 和 工具 进行 通信 ， 而 这 些 恰 恰 是 配置 管 
理工 具 所 擅长 的 。 


Docker 一 个 显著 的 特点 束 是 ， 对 不 同 的 答 主 机 、 应 用 程序 和 服务 ， 可 
能 会 表现 出 不 同 的 特性 与 架构 (或 者 确切 地 说 ，Docker 本 就 是 被 设计 
成 这 样 的 ) : Docker 可 以 古 短 生 命 周 期 的 ,但 也 可 以 用 于 恒定 的 环 
境 ， 可 以 用 一 次 即 销 双 ， 也 可 以 提供 持久 的 服务 。 这 些 行为 并 不 会 给 
Docker 增 加 复杂 性 ， 也 不 会 和 配置 管理 工具 的 需求 产生 重合 。 基 于 这 
些 行为 ， 我 们 基本 不 需要 担心 管理 状态 的 持久 性 ， 也 不 必 太 担心 状态 
的 复杂 性 ， 因 为 容 硕 的 生命 周期 往往 比较 短 ， 而 且 重 建 容 右 状态 的 代 
价 通常 也 比 传统 的 状态 修复 要 低 。 


然而 ， 并 非 所 有 的 基础 设施 都 具备 这 样 的 “特性 ”。 在 未 来 的 一 段 时 间 
内 ，Docker 这 种 理想 化 的 工作 负载 可 能 会 与 传统 的 基础 设备 部 署 共存 
一 段 时 间 。 长 期 运行 的 主机 和 物理 设备 上 运行 的 主机 在 很 多 组 织 中 仍 
具有 不 可 蕉 代 的 地 位 。 由 于 多 样 化 的 管理 需求 ， 以 及 管理 Docker 目 身 
的 需求 ， 在 绝 大 多 数组 织 中 ，Docker 和 配置 管理 工具 可 能 都 需要 部 
A o 


1.5 “Docker 的 技术 组 件 


Docker 可 以 运行 于 任何 安装 了 现代 Linux 内 核 的 x64 主 机 上 。 推 荐 的 内 
核 版 本 是 3.8 或 者 更 高 。Docker 的 开销 比较 低 ， 可 以 用 于 服务 器 、 台 式 
机 或 笔记 本 。 它 包括 以 下 几 个 部 分 。 


一 个 原生 的 Linux 容 器 格式 ，Docker 中 称 为 ]lijbcontainer 。 
Linxu 内 核 的 命名 空间 (namespace) |! ， 用 于 隔离 文件 系统 、 进 
程 和 网 络 。 

文件 系统 隔离 : 每 个 容器 都 有 自己 的 root 文 件 系 统 。 

进程 隔离 : 每 个 容 右 都 运行 在 自己 的 进程 环境 中 。 

网 络 隔离 ， 容 絮 间 的 虚拟 网 络 接 口 和 IP 地 址 都 是 分 开 的 。 

资源 隔离 和 分 组 .使 用 cgroups H! 《〈 即 control group，Linux 的 内 
核 特性 之 一 ) 将 CPU 和 内 存 之 类 的 资源 独立 分 配给 每 个 Docker 容 
z% o 

写 时 复制 UOH. 文件 系统 都 是 通过 写 时 复制 创建 的 ， 这 就 意味 着 
文件 系统 是 分 层 的 、 快 速 的 ， 而 且 占 用 的 磁盘 空间 更 小 。 


。 日 志 : 容器 产生 的 STDOUT + STDERR 和 STDIN 这 些 IO 流 都 会 被 
收集 并 记 入 日 志 ， 用 来 进行 日 志 分 析 和 故障 排 错 。 

。 交互 式 shell: 用 户 可 以 创建 一 个 盆 tty 终 端 ， 将 其 连接 到 STDIN ， 
为 容 右 提供 一 个 交互 式 的 shell 。 


16 本 书 的 内 容 


在 本 书 中 ， 我 们 将 讲述 如 何 安 闻 、 部 车 、 管 理 Docker， 并 对 其 进行 功 
能 扩展 。 我 们 首先 会 介绍 Docker 的 基础 知识 及 其 组 件 ， 然 后 用 Docker 
构建 容器 和 服务 ， 来 完成 各 种 的 任务 。 


我 们 还 会 体验 从 测试 到 生产 环境 的 完整 开发 生命 周期 ， 并 会 探讨 
Docker 适 用 于 哪些 领域 ，Docker 是 如 何 让 我 们 的 生活 更 加 简单 的 。 我 
们 使 用 Docker 为 新 项 目 构 建 测 斌 环境， 演示 如 何 将 Docker 集 成 到 持续 
集成 工作 流 ， 如 何 构 建 程序 应 用 的 服务 和 平台 。 最 后 ， 我 们 会 向 大 家 
介绍 如 何 使 用 Docker 的 API， 以 及 如 何 对 Docker 进 行 扩 展 。 


我 们 将 会 教 大 家 如 何 : 
。 安装 Docker; 
。 尝试 使 用 Docker 容 器 ; 
。 构建 Docker 镜 像 ; 
。 管理 并 共享 Docker 镜 像 
。 运行 、 管 理 更 复杂 的 Docker 容 器 和 Docker 容 如 栈 ; 
。 将 Docker 容 器 的 部 署 纳入 测试 流程 ; 
。 构 建 多 容器 的 应 用 程序 和 环境 ; 
。 介绍 使 用 Docker Compose、Consul 和 Swarm 进行 Docker 编 配 的 基 


fill 
探索 Docker 上 的 APIT; 
获取 帮助 文档 并 扩展 Docker 。 


推荐 读者 按 顺序 阅读 本 书 。 每 一 章 痢 会 以 前 面 划 市 的 Docker 知 识 为 基 
础 ， 并 引入 新 的 特性 和 功能 。 读 完 本 书后 ， 读 者 应 该 会 对 如 何 使 用 
Docker 构 建 标准 容 左 ， 部 署 应 用 程序 、 测 试 环境 和 独立 的 服务 有 比较 
深刻 的 理解 。 


1.7 Docker 资源 


Docker 官 方 主 页 (http://www.docker.com/) ° 

Docker Hub (http://hub.docker.com ) ° 

Docker 官 方 博客 (http://blog.docker.com/ ) ° 

Docker 官 方 文档 (http://docs.docker.com/ ) ° 

Docker 快 速 入 门 指南 (http://www.docker.com/tryit/ ) ° 

Docker 的 GitHub 源 代码 (https://github.com/docker/docker ) ° 

Docker Forge (https://github.com/dockerforge ) : 收集 了 各 种 

Docker 工 具 、 组 件 和 服务 。 

° Docker 邮 件 列 表 (https://groups.google.com/forum/#!forum/docker- 
user) ° 

e Docker 的 IRC 频 道 (irc.freenode.net) ° 

。 Docker 的 Twitter 主页 (http://twitter.com/docker ) ° 

。 Docker 的 StackOverflow 问 答 主页 (http://stackoverflow.com/search? 
q=docker ) 。 

。 Docker 官 网 (http://www.docker.com/ ) ° 


在 第 9 章 中 会 详细 介绍 去 哪里 以 及 如 何 获得 Docker 的 
3 助 信息 。 


[1] [http://martinfowler.com/articles/microservices.htmll] 
(http://martinfowler.com/articles/microservices.html) 


[2]  [http://docs.docker.com/reference/api/docker_remote_api/] 
(http://docs.docker.com/reference/api/docker_remote_api/) 


[3] — [http://hub.docker.com/](http://hub.docker.com/) 


[4]  [https://hub.docker.com/account/signup/] 
(https://hub.docker.com/account/signup/) 


[5]  [https://hub.docker.com/search?q=nginx] 
(https://hub.docker.com/search?q=nginx) 


[6] — [https://hub.docker.com/search?q=Asterisk | 
(https://hub.docker.com/search?q=Asterisk) 


[7]  [https://hub.docker.com/search?q=mysql] 
(https://hub.docker.com/search?q=mysql) 


[8] 
[https://web.archive.org/web/20090207105003/http://madstop.com/2009/02 
/04/golden-image-or-foil-ball] 
(https://web.archive.org/web/20090207105003/http://madstop.com/2009/02 
/04/golden-image-or-foil-ball) 


[9] [http://lwn.net/Articles/531114/](http://lwn.net/Articles/531114/) 


[10] — [http://en.wikipedia.org/wiki/Cgroups] 
(http://en.wikipedia.org/wiki/Cgroups) 


[11] — [http://en.wikipedia.org/wiki/Copy-on-write] 
(http://en. wikipedia.org/wiki/Copy-on-write) 


第 2 章 安装 Docker 


Docker 的 安装 既 快 又 简单 。 目 前 ，Docker 已 经 文 持 非常 多 的 Linux 平 
台 ， 包 括 Ubuntu 和 RHEL (Red Hat Enterprise Linux, Red Hat 企 业 版 
Linux) 。 除 此 之 外 ，Docker 还 文 持 Debian、CentOS、Fedora、Oracle 
Linux 等 衍生 系统 和 相关 的 发 行 版 。 如 果 使 用 虚拟 环境 ， 甚 至 也 可 以 在 
OS X 和 Microsoft Windows 中 运行 Docker。 


目前 来 讲 ，Docker 团 队 推 荐 在 Ubuntu、Debian 或 者 RHEL 系 列 

(CentOS ` Fedora) 宿主 机 中 部 署 Docker， 这 些 发 行 版 中 直接 提供 
a 0 本章 将 介绍 如 何在 4 种 各 有 所 长 的 操作 系统 中 安装 
Docker, 


。 在 运行 Ubuntu 系统 的 牡 主机 中 安装 Docker; 

。 在 运行 RHEL 或 其 衍生 的 Linux 发 行 版 的 宿主 机 中 安装 Docker; 

。 在 OS X 系 统 中 用 Docker Toolbox (1 工具 安装 Docker; 

。 在 Microsoft Windows 系 统 中 使 用 Docker Toolbox 工 具 安装 Docker ° 


E29 Docker Toolbox 一 个 安装 了 运行 Docker 所 需 一 切 的 组 件 的 集合 。 它 包含 VirtualBox 和 一 
个 极 小 的 虚拟 机 ， 同 时 提供 了 一 个 包装 脚本 (wrapper script) 对 该 虚拟 机 进行 管理 。 该 虚拟 
机 运行 一 个 守护 进程 ， 并 在 OS XEKMicrosoft Windows 中 提供 一 个 本 地 的 Docker 守 护 进程 。 
Docker 的 客户 端 工具 docker 作为 这 些 平台 的 原生 程序 被 安装 ， 并 连接 到 在 Docker Toolbox 
虚拟 机 中 运行 的 Docker 守 护 进 程 。Docker Toolbox 替 代 了 Boot2Docker ° 


Docker 也 可 以 在 很 多 其 他 Linux 发 行 版 中 运行 ， 包 括 Debian、SUSE |?! 
` Arch Linux l?! 、CentOS 和 Gentoo 4! ° Dockerth <fF#-HA FA, 4, 
4 Amazon EC2 [°] ~ Rackspace Cloud !*! 和 Google Compute Engine |7! ° 


EH 可 以 在 Docker 安 装 指南 (https://docs.docker.com/engine/installation/ ) 查 到 完整 的 
Docker 支 持平 台 列 表 。 


我 们 之 所 以 选择 对 在 这 4 种 环境 下 Docker 的 安装 方法 进行 介绍 ， 主 要 是 
因为 它们 是 Docker 社 区 中 最 常用 的 几 种 环境 。 例 如 ， 开 发 人 员 使 用 OS 


XH, Ae EE Windows Liev, mW + FH (staging) 或 
ET ASEATHI Dockers ESRAR EFG ， 这 样 ， 开 发 人 员 和 系 
统管 理 员 就 可 以 在 自己 的 OS X 或 者 Windows 工 作 站 中 用 Docker 
Toolbox 构 建 Docker 容 颖 ， 然 后 把 这 些 容 妮 放 到 运行 其 他 支持 平台 的 测 
试 、 预 演 或 者 生产 环境 中 。 


建议 读者 至 少 使 用 Ubuntu 或 者 RHEL 完 整地 安装 一 遍 Docker， 以 了 解 
Docker 安 装 需要 哪些 前 提 条 件 ， 也 能 够 了 解 到 底 如 何 安 装 Docker 。 


EN 和 所 有 安装 过 程 一 样 ， 我 也 推荐 读者 了 解 一 下 如 何 使 用 Puppet [8 或 Chef [9] 这 样 的 工 
‖ 具 来 安装 Docker， 而 不 是 纯 手 动 安 装 。 例 如 ， 可 以 在 网 上 找到 安装 Docker 的 Puppet 模 块 10! 
和 Chef cookbook l! o 


2.1 安装 Docker 的 先决 条 件 


和 安装 其 他 软件 一 样 ， 安 装 Docker 也 需要 一 些 基 本 的 前 提 条 件 。 
Docker 要 求 的 条 件 具 体 如 下 。 


运行 64 位 CPU 构架 的 计算 机 (目前 只 能 是 x86_64 和 amd64) ， 请 
注意 ，Docker 目 前 不 文 持 32 位 CPU 。 
运行 Linux 3.8 或 更 高 版 本 内 核 。 一 些 老 版 本 的 2.6.x 或 其 后 的 内 核 
也 能 够 运行 Docker， 但 运行 结果 会 有 很 大 的 不 同 。 而 且 ， 如 果 需 
ee 通常 大 家 会 被 建议 升级 到 更 高 版 本 的 
4 o 
内 核 必须 支持 一 种 适合 的 存储 驱动 (storage driver) ， 例 如 : 
Device Manager [2] ; 
AUFS 13] , 
vis [141 , 
btrfs [15] ; 
ZFS (在 Docker 1.7 中 引入 ) ; 
e Mapper EX% AUFS ° 
必须 支持 并 开启 cgroup He PMA 23 E7 (namespace) 功 


内 核 


Suh 
Hb 


>- O O O O 0 Oo 
coe 


2.2 在 Ubuntu 和 Debian 中 安装 Docker 


目前 ， 官 方 支持 在 以 下 版 本 的 Ubuntu 和 Debian 中 安装 Docker: 


Ubuntu Wily 15.10 (64 位 ) ; 

Ubuntu Vivid 15.04 (64 位 ) ; 

Ubuntu Trusty 14.04 (LTS) (64 人 位) ; 
Ubuntu Precise 12.04 (LTS) (64 位 ) ; 
Ubuntu Raring 13.04 (64 位 ) ; 

Ubuntu Saucy 13.10 (64 位 ) ; 

Debian 8.0 Jessie 《64 位 ) ; 

e Debian 7.7 Wheezy (64 fiz) ° 


EIJ 这 并 不 意味 着 上 面 清单 之 外 的 Ubuntu (Debian) 版 本 就 不 外 能 安装 Docker 。 REA 
当 的 内 核 和 Docker 所 必需 的 支持 ， 其 他 版 本 的 Ubuntu 也 是 可 以 安装 Docker 的 ， 只 不 过 这 些 版 
本 并 没有 得 到 官方 支持 ， 因 此 ， 遇 到 的 bug 可 能 无 法 得 到 官方 的 修复 。 


安装 之 前 ， 还 要 区 确认 一 下 已 经 安装 了 Docker 所 需 的 前 提 条 件 。 我 创 


eT 一 个 要 安装 Docker 的 全 新 Ubuna 14.04 LTS 64 位 答 主 机 ， 称 之 为 
darknight.example.com ° 


2.2.1 检查 前 提 条 件 


在 安装 并 运行 Docker 所 需 的 前 提 条 件 并 不 多 ， 下 面 一 
— Z] 


1. 内 核 


首先 ， 确 认 已 经 能 满足 要 求 的 Linux 内 核 。 可 以 通过 uname ar 
如 代码 清单 2-1 所 示 。 


代码 清单 2-1 检查 Ubuntu 内 核 的 版 本 


$ uname -a 
Linux darknight.example.com 3.13.0-43-generic #72-Ubuntu SMP Mon 
Dec 


8 19:35:06 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux 


可 以 看 到 ， 这 里 安装 的 是 3.13.0 x86_64 版 本 的 内 核 。 这 是 Ubuntu 14.04 
及 更 高 版 本 默认 的 内 核 。 


如 果 使 用 Ubuntu 较 早 的 发 行 版 ， 可 以 有 一 个 较 早 的 内 核 。 应 该 可 以 轻 
松 地 用 apt-get 把 Ubuntu 升级 到 最 新 的 内 核 ， 如 代码 清单 2-2 所 示 。 


代码 清单 2-2 ”在 Ubuntu Precise 中 安装 3.8 内 核 


$ sudo apt-get update 
$ sudo apt-get install linux-headers-3.13.0-43-generic 


linux-image-3.13.0-43-generic linux-headers-3.13.0-43 


ES 本 书 中 的 所 有 操作 都 使 用 sudo 来 获取 所 需 的 root 权限 。 


然后 ， 束 可 以 更 新 Grub 局 动 加 载 器 来 加 载 新 内 核 ， 如 代码 清单 2-3 所 
ZR œ 


代码 清单 2-3 ”更 新 Ubuntu Precise 的 启动 加 载 器 


$ sudo update-grub 


TREA fae JA Te ENDER 3 BAK ae ATR, att 
码 清单 2-4 所 示 。 


代码 清单 2-4 ”重启 Ubuntu 宿 主机 


重启 之 后 ， 可 以 再 次 使 用 uname -a 来 确认 已 经 运行 了 正确 版 本 的 内 


核 。 


2. 检查 Device Mapper 


这 里 将 使 用 Device Mapper 作 为 存储 驱动 。 目 2.6.9 版 本 的 Linux 内 核 开 
外 已 经 集成 了 Device Mapper， 并 且 提供 了 一 个 将 块 设备 映射 到 高 级 虚 
拟 设备 的 方法 。Device Mapper 文 持 “ 自 动 精简 配置 > 48 (thin- 
provisioning) 的 概念 ， 可 以 在 一 种 文件 系统 中 存储 多 台 虚 拟 设备 

(Docker 镜 像 中 的 层 ) 。 因 此 ， 用 Device Mapper 作 为 Docker 的 存储 驱 
动 是 再 合 适 不 过 了 。 


任何 Ubuntu 12.04 或 更 高 版 本 的 牡 主机 应 该 都 已 经 安装 了 Device 
Mapper， 可 以 通过 代码 清单 2-5 所 示 的 命令 来 确认 是 否 已 经 安装 。 


代码 清单 2-5 检查 Device Mapper 


$ ls -1 /sys/class/misc/device-mapper 
lrwxrwxrwx 1 root root © Oct 5 18:50 /sys/class/misc/device- 
mapper 


> ../../devices/virtual/misc/device-mapper 


也 可 以 在 /proc/devices 文件 中 检查 是 否 有 device-mapper 条 
目 ， 如 代码 清单 2-6 所 示 。 


代码 清单 2-6 ”在 Ubuntu 的 proc 中 检查 Device Mapper 


$ sudo grep device-mapper /proc/devices 


如 果 没 有 出 现 device-mapper 的 相关 信息 ， 也 可 以 尝试 加 载 
dm_mod 模块 ， 如 代码 清单 2-7 所 示 。 


代码 清单 2-7 “加载 Device Mapper 模 块 


$ sudo modprobe dm_mod 


cgroup 和 命名 空间 目 2.6 版 本 开始 已 经 集成 在 Linux 内 核 中 了 。2.6.38 以 
后 的 内 核对 cgroup 和 命名 空间 都 提供 了 展 好 的 文 持 ， 基 本 上 也 没有 什 
A bug ° 


2.2.2 ”安装 Docker 


现在 “万 事 俱 备 ， 只 从 东风 ”。 我们 将 使 用 Docker 团 队 提供 的 DEB 软 件 
包 来 安装 Docker 。 


首先 ， 要 添加 Docker 的 APT 人 仓库， 如 代码 清单 2-8 所 示 。 其 间 ， 可 能 会 
提示 我 们 确认 添加 仓库 并 目 动 将 仓库 的 GPG 公 钥 添 加 a 到 宿主 机 中 。 


代码 清单 2-8 添加 Docker 的 ATP 仓 库 


$ sudo sh -c "echo deb https://apt.dockerproject.org/repo ubuntu- 


trusty main > /etc/apt/sources.list.d/docker.list" 


应 该 将 trusty 替换 为 主机 的 Ubuntu 发 行 版 本 。 这 可 以 通过 运行 
1sb_release 命令 来 实现 ， 如 代码 清单 2-9 所 示 。 


代码 清单 2-9 检测 cur1l 命令 是 否 安 装 


接 下 来 ， 要 添加 Docker 仓 库 的 GPG 密 钥 ， 如 代码 清单 2-10 所 示 。 


代码 清单 2-10 ”如果 需要 ， 安 装 cur1 


$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net 
:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D 


之 后 ， 需 要 更 新 APT 源 ， 如 代码 清单 2-11 所 示 。 


代码 清单 2-11 更 新 APT 源 


$ sudo apt-get update 


现在 ， 就 可 以 安装 Docker 软 件 包 了 ， 如 代码 清单 2-12 所 示 。 


代码 清单 2-12 ”在 Ubuntu 中 安装 Docker 


$ sudo apt-get install docker-engine 


太行 该 命令 后 ， 系 统 会 安装 Docker 软 件 包 以 及 一 些 必需 的 软件 包 。 


iam 自 Docker 1.8.0 开 始 ，Docker 的 软件 包 名 称 已 经 从 1xc-docker 变 为 docker-engine 


ot 


完毕 ， 用 docker info 命令 应 该 能 够 确认 Docker 是 否 已 经 正常 
装 并 运行 了 ， 如 代码 清单 2-13 所 示 。 


代码 清单 2-13 ”确认 Docker 已 经 安装 在 Ubuntu 中 


$ sudo docker info 
Containers: 0 
Images: 0 


2.2.3 Docker 与 UFW 


在 Ubuntu 中 ， 如 果 使 用 UFW "9! ， 即 Uncomplicated Firewall， 那 么 还 

需 对 其 做 一 点 儿 改 动 才能 让 Docker 工 作 。Docker 使 用 一 个 网 桥 来 管理 

容器 中 的 网 络 。 默 认 情 况 下 ，UFW 会 丢 充 所 有 转发 的 数据 包 (也 称 分 

组 ) 。 因 此 ， 需 要 在 UFW 中 局 用 数据 包 的 转发 ， 这 样 才能 让 Docker 正 

常 运行 。 我 们 只 需要 对 /etc/default/ufw 文件 做 一 些 改动 即 可 。 
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代码 清单 2-14 ”原始 的 UFW 转 发 策略 


DEFAULT_FORWARD_POLICY="DROP" 


代码 清单 2-15 ”新 的 UFW 转 发 策略 


DEFAULT_FORWARD_POLICY="ACCEPT" 


保存 修改 内 容 并 重新 加 载 UFW 即 可 ， 如 代码 清单 2-16 所 示 。 
代码 清单 2-16 重新 加 载 UFW 防 火 墙 


$ sudo ufw reload 


2.3 Red Hat 和 Red Hat 系 发 行 版 中 安装 Docker 


在 Red Hat 企 业 版 Linux (或 者 CentOS 或 Fedora) 中 ， 只 有 少数 几 个 版 
本 可 以 安装 Docker， 包 括 : 


e RHEL (和 CentOS) 6 或 以 上 的 版 本 (64 位 ); 

。 Fedora 19 或 以 上 的 版 本 (64 位) ; 

e Oracle Linux 6 和 Oracle Linux 7， 带 有 Unbreakable 企 业内 核发 行 版 
3 (3.8.13) 或 者 更 高 版 本 (64 位 ) ° 


EZ Red Hat 企 业 版 Linux 7 及 更 高 版 本 中 ，Docker 已 经 成 为 系统 自 带 的 软件 包 了 ， 并 
H, 只 有 Red Hat 企 业 版 Linux 7 是 Red Hat 官 方 支持 Docker 的 发 行 版 本 。 


2.3.1 检查 前 提 条 件 


在 Red Hat 和 Red Hat 系 列 的 Linux 发 行 版 中 ， 安 装 Docker 所 需 的 前 提 条 
件 也 并 不 多 。 


1. 内 核 


可 以 使 用 代码 清单 2-17 所 示 的 uname 命令 来 确认 是 否 安 装 了 3.8 或 更 高 
的 内 核 版 本 。 


代码 清单 2-17 检查 Red Hat 或 Fedora 的 内 核 


$ uname -a 
Linux darknight.example.com 3.10.9-200.fc19.x86_64 #1 SMP Wed Aug 


21 19:27:58 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux 


目前 所 有 官方 支持 的 Red Hat 和 Red Hat 系 列 平台 ， 应 该 都 安装 了 支持 
Docker 的 内 核 。 


2. 检查 Device Mapper 


我 们 这 里 使 用 Device Mapper 作 为 Docker 的 存储 驱动 ， 为 Docker 提 供 存 
储 能 力 。 在 Red Hat 企 业 版 Linux、CentOS 6 或 Fedora 19 及 更 高 版 本 宿 
主机 中 ， 应 该 也 都 安装 了 Device Mapper， 不 过 还 是 需要 确认 一 下 ， 如 
代码 清单 2-18 所 示 。 


代码 清单 2-18 检查 Device Mapper 


$ ls -1 /sys/class/misc/device-mapper 
lrwxrwxrwx 1 root root © Oct 5 18:50 /sys/class/misc/device- 
mapper 


-> ../../devices/virtual/misc/device-mapper 


同样 ， 也 可 以 在 /proc/devices 文件 中 检查 是 否 有 device- 
mapper 条 目 ， 如 代码 清单 2-19 所 示 。 


代码 清单 2-19 在 Red Hat 的 proc 文 件 中 检查 Device Mapper 


$ sudo grep device-mapper /proc/devices 


如 果 没 有 检测 到 Device Mapper， 也 可 以 试 着 安装 device-mapper x 
件 包 ， 如 代码 清单 2-20 所 示 。 


代码 清单 2-20 ”安装 Device Mapper 软 件 包 


$ sudo yum install -y device-mapper 


上 四 国 在 新 版 本 的 Red Hat 系 列 发 行 版 本 中 ，yum 命令 已 经 被 dnf 命令 取代 ， 它 们 的 语法 并 
没有 什么 变化 。 


安装 完成 后 ， 还 需要 加 载 dm_mod 内 核 模 块 ， 如 代码 清单 2-21 所 示 。 
代码 清单 2-21 加 载 Device Mapper 模 块 


$ sudo modprobe dm_mod 


模块 加 载 完 毕 ， 束 应 该 可 以 找到 /sys/class/misc/device- 
mapper 条 目 了 。 


2.3.2 ”安装 Docker 


在 不 同 版 本 的 Red Hat 中 ， 安 装 过 程 略 有 不 同 。 在 RHEL 6 或 CentOS 6 
中 ， 需 要 先 添 加 EPEL 软 件 包 的 仓库 。 ”而 Fedora 中 则 个 需要 局 用 EPEL 
仓库 。 在 不 同 的 平台 和 版 本 中 ， 软 件 包 命名 也 有 细微 的 差别 。 


1. 在 RHEL 6 和 CentOS 6 中 安装 Docker 


对 于 Red Hat 企 业 版 Linux 6 和 CentOS 6， 可 以 使 用 代码 清单 2-22 所 示 的 


RPM 软 件 包 来 安装 EPEL 。 


代码 清单 2-22 TERHEL 6 和 CentOS 6 中 安装 EPEL 


$ sudo rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386 
/epel-release-6-8.noarch.rpm 


rae 


装 完 EPEL 后 ， 就 可 以 安装 Docker 了 ， 如 代码 清单 2-23 所 示 。 


代码 清单 2-23 ”在 RHEL 6 和 CentOS 6 中 安装 Docker 软 件 包 


$ sudo yum -y install docker-io 


2. 在 RHEL 7 中 安装 Docker 


RHEL 7 或 更 高 的 版 本 可 以 按照 代码 清单 2-24 所 示 的 指令 来 安装 


Docker ° 


代码 清 


È 


12-24 ”在 RHEL 7 中 安装 Docker 


$ sudo subscription-manager repos --enable=rhel-7-server-extras- 


rpms 


$ sudo yum install -y docker 


要 想 访 问 Red Hat 的 Docker 软 件 包 和 文档 ， 必 须 是 Red Hat 的 客户 ， 并 
拥有 RHEL 服 务 器 订阅 授权 (RHEL Server subscription entitlement) ° 


3 .在 Fedora 中 安装 Docker 


在 不 同 版 本 的 Fedora 中 ， 有 几 个 软件 包 的 名 称 有 所 不 同 。 在 Fedora 19 
中 ， 要 安装 docker -io 这 个 软件 包 ， 如 代码 清单 2-25 所 示 。 


ANS 


Eades Red Hat 系 列 发 行 版 本 中 ，yum 命令 已 
没有 什么 变化 。 


被 dnf 命令 取代 ， 它 们 的 语法 并 


代码 清单 2-25 Fedora 19 中 安装 Docker 


$ sudo yum -y install docker-io 


在 Fedora 20 或 更 高 的 版 本 中 ， 软 件 包 的 名 称 已 经 改 为 docker ， 如 代 
码 清 单 2-26 所 示 。 


代码 清单 2-26 Fedora 20 或 更 高 版 本 中 安装 Docker 


$ sudo yum -y install docker 


而 在 Fedora 21 中 ， 软 件 包 的 名 称 叉 回 退 到 了 docker-io ， 如 代码 清 
单 2-27 所 示 。 


代码 清单 2-27 在 Fedora 21 上 安装 Docker 


$ sudo yum -y install docker-io 


最 后 ， 到 了 Fedora 22， 软 件 包 的 名 称 则 又 变 回 了 docker 。 同 时 ,也 
是 在 Fedora 22, yum 命令 也 不 被 推荐 使 用 ， 被 dnf 命令 取代 了 ， 如 代 
码 清单 2-28 所 示 。 


代码 清单 2-28 在 Fedora 22 上 安装 Docker 


$ sudo dnf install docker 


EZ LEE TTP (https://docs.docker.com/engine/installation/oracle/ ) 找到 如 何在 Oracle 
Linux 上 安装 Docker 的 文档 。 


2.3.3 ”在 Red Hat 系 发 行 版 中 启动 Docker 守 护 进程 


软件 包 安 装 完成 后 就 可 以 启动 Docker 守 护 进程 了 。 在 RHEL 6 或 CentOS 
6 中 ， 可 以 用 代码 清单 2-29 所 示 的 命令 启动 守护 进程 。 


代码 清单 2-29 在 Red Hat 企业 版 Linux 6 中 启动 Docker 守 护 进 各 


HO 


F 


$ sudo service docker start 


想 要 在 系统 开机 时 自动 启动 Docker 服 务 ， 还 应 该 执行 代码 清单 2-30 所 


示 的 命令 。 


代码 清单 2-30 ”确保 在 RHEL 6 中 开机 启动 Docker 


$ sudo service docker enable 


在 RHEL 7 或 Fedora 中 启动 Docker 服 务 ， 则 需要 执行 代码 清单 2-31 所 示 


代码 清单 2-31 ”在 RHEL 7 中 启动 Docker 守 护 进程 


$ sudo systemctl start docker 


起 要 在 统 开 机 目 动 启动 Docker 服 务 ， 还 要 执行 代码 清单 2-32 所 示 的 
= 


代码 清单 2-32 ”确保 在 Red Hat 企 业 版 7 中 开机 启动 Docker 


$ sudo systemctl enable docker 


完成 上 述 工 作 后 ， 就 可 以 用 docker info 命令 来 确认 Docker 是 否 已 
经 正确 安装 并 运行 了 ， 如 代码 清单 2-33 所 示 。 


代码 清单 2-33 ”在 Red Hat 系 列 发 行 版 中 检查 Docker 是 


正确 安装 


$ sudo docker info 
Containers: 0 
Images: 0 


EZ t Fy bh BW Docker 7 i FRRRHEL 2°) > Centos 24) 和 Fedora (22) 用 的 最 新 版 
RPM #4 ° 


2.4 EOS X 中 安装 Docker Toolbox 


如 果 使 用 的 是 OS X 系 统 ， 则 可 以 使 用 Docker Toolbox 23] 快速 上 手 
Docker ° Docker Toolbox 是 一 个 Docker 组 件 的 集合 ， 还 包括 一 个 极 小 的 
虚拟 机 ， 在 OS X 特 主机 上 会 安装 与 之 对 应 的 命令 行 工 具 ， 并 提供 了 一 
个 Docker 环 境 。 


Docker Toolbox 自 带 了 很 多 组 件 ， 包 括 : 
VirtualBox; 


。 Docker% F vin; 
。 Docker Compose 〈 参 见 第 7 章 ) ; 


Kitematic 一 个 Docker 和 Docker Hub 的 GUI 客户 端 ; 
Docker Machine 用 于 帮助 用 户 创建 Docker 主 机 。 


2.4.1 EOS X 中 安装 Docker Toolbox 


要 在 OS X 中 安装 Docker Toolbox， 需 要 去 GitHub 下 载 相 应 的 安 闭 程 
序 ， 可 以 在 https:/www.docker.com/toolbox 找到 。 


首先 需要 下 载 最 新 版 本 的 Docker Toolbox， 如 代码 清单 2-34 所 示 。 


代码 清单 2-34 ”下 载 Docker Toolbox PKG 文 件 


$ wget https://github.com/docker/toolbox/releases/ 
download/v1i.9.1/DockerToolbox-1.9.1.pkg 


ea 并 根据 提示 安装 Docker Toolbox 即 可 ， 如 图 2-1 
ZR œ 


eo. © Install Docker Toolbox 


Welcome to the Docker Toolbox Installer 


Docker Toolbox for Mac OS X 


This installer guides you through an installation of Docker Toolbox for 
Mac OS X v1.8.0-rc1, 


© Introduction 


The Docker Toolbox installer includes the following: 
Docker Client docker binary 
Docker Machine docker-machine binary 
Docker Compose docker-compose binary 
Kitematic - Desktop GUI for Docker 
Docker Quickstart Terminal app 
By default, these are installed in your /usr/local/bin directory. 


To continue, click Continue. 


Continue 


图 2-1 在 OS X 中 安装 Docker Toolbox 


2.4.2 EOS X 中 启动 Docker Toolbox 


现在 ， 至 安装 T Docker Toolbox Æ: LW Eo HI 提 条 < 件 ， 可 以 开始 对 
E o o BARAT E) 进行 配置 ， 运行 Docker Toolbox 
ee 


我 们 可 以 进入 OS XAZMApplications 文件 夹 ， 单 击 Docker CLIK 
标 来 初始 化 并 启动 Docker Toolbox 虚 拟 机 ， 如 图 2-2 所 示 。 


© © 


Docker ctl x Kitematic (Beta) 


Launchpad 


IOuaseA™ OBBODVOS | 


图 2-2 在 OS X 中 运行 oot2Docker 


2.4.3 测试 Docker Toolbox 


现在 ， 就 可 以 通过 将 本 机 的 Docker 客 户 端 连接 到 虚拟 机 中 运行 的 
Docker 守 护 进程 ， 来 测试 Docker Toolbox 安 装 程序 是 否 正常 运行 ， 如 代 
码 清 单 2-35 所 示 。 


代码 清单 2-35 ”在 OSX 中 测试 Docker Toolbox 


$ docker info 

Containers: 0 

Images: 0 

Driver: aufs 
Root Dir: /mnt/sda1/var/lib/docker/aufs 
Dirs: 0 


Kernel Version: 3.13.3-tinycore64 


KET! 我 们 已 经 可 以 在 OS X 答 主机 运行 Docker 了 |! 


2.5 ”在 Windows 中 安装 Docker Toolbox 


如 果 使 用 的 是 Microsoft Windows 系 统 ， 也 可 以 使 用 Docker Toolbox 工 具 
快速 上 手 Docker。Docker Toolbox 是 一 个 Docker 组 件 的 集合 ， 还 包括 一 
个 板 小 的 虚拟 机 ， 在 Windows 答 主机 上 安装 了 一 个 支持 命令 行 工 具 ， 

并 提供 了 一 个 Docker 环 境 。 


Docker Toolbox 目 带 了 很 多 组 件 ， 包 括 : 


e VirtualBox; 

© Docker 客 户 端 ; 

。 Docker Compose (参见 第 7 章 ) ; 

e Kitematic 一 个 Docker 和 Docker Hub 的 GUI 客户 端 ; 
。 Docker Machine 用 于 帮助 用 户 创建 Docker 主 机 。 


| 世 匀 也 可 以 通过 使 用 包 管理 器 Chocolatey 24 来 安装 Docker 客 户 端 。 


2.5.1 在 Windows 中 安装 Docker Toolbox 


要 在 Windows 中 安装 Docker Toolbox， 需 要 从 GitHub 上 下 载 相 应 的 安装 
程序 ， 可 以 在 https://www.docker.com/toolbox 找到 。 


首先 也 需要 下 载 最 新 版 本 的 Docker Toolbox， 如 代码 清单 2-36 所 示 。 
代码 清单 2-36 ”下 载 Docker Toolbox 的 . exe 文 件 


$ wget https://github.com/docker/toolbox/releases/download/v1.9.1/ 
Docker Toolbox-1.9.1.exe 


运 和 行 下 载 的 安装 文件 ， 并 根据 提示 安装 Docker Toolbox， 如 图 2-3 所 
= 


B Setup - Docker Toolbox = O 


Welcome to the Docker Toolbox 
Setup Wizard 


This will install Docker Toolbox version 1.7.0 on your 
computer. 


Itis recommended that you dose all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup. 


Docker Toolbox installation documentation Cancel 


图 2-3 在 Windows 中 安装 Docker Toolbox 


allie 


l 
2.5.2 ”在 windows 中 启动 Docker Toolbox 


人 


Ae Docker Toolbox 后 ， 束 可 以 从 桌面 或 者 Applications 文 件 夹 


,二 /一 


运行 Docker CLI 应 用 ， 如 图 2-4 所 示 。 


只 能 在 运行 Windows 7.1、8/8.1 或 者 更 新 版 本 上 安装 Docker Toolbox ° 


DF M 


Docker CLI Oracle VM Kitematic 
VirtualBox (Alpha) 


图 2-4 Windows #3447 Docker Toolbox 


2.5.3 测试 Docker Toolbox 


现在 ， 就 可 以 党 试 使 用 将 本 机 的 Docker 客 户 端 连接 虚拟 机 中 运行 的 
Docker 守 护 进程 ， 来 测试 Docker Toolbox 是 否 已 经 正常 安装 ， 如 代码 清 
单 2-37 所 示 。 


代码 清单 2-37 ”在 Windows 中 测试 Docker Toolbox 


$ docker info 

Containers: 0 

Images: 0 

Driver: aufs 
Root Dir: /mnt/sda1/var/lib/docker/aufs 
Dirs: 0 


Kernel Version: 3.13.3-tinycore64 


KIET! 现在 ，Windows 御 主机 也 可 以 运行 Docker 了 ! 


2.6 ”使 用 本 书 的 Docker Toolbox 示 例 


本 书 中 的 一 些 示 例 可 能 会 要 求 通过 网 络 接口 或 网 络 端 口 连 接 到 某 个 容 
俐 ， 通 常 这 个 地 址 是 Docker 服 务 器 的 lJocalhost 或 耻 地 址 。 因 为 
Docker Toolbox 创 建 了 一 个 本 地 虚拟 机 ， 它 拥有 自己 的 网 络 接口 和 IP 地 
址 ， 所 以 我 们 需要 连接 的 是 Docker Toolbox 的 地 址 ， 而 不 是 你 的 
localhost 或 你 的 宿主 机 的 IP 地 址 。 


要 想得到 Docker Toolbox 的 IP 地 址 ， 可 以 查看 DOCKER_HOST 环境 变量 
的 值 。 当 在 OS X 或 者 Windows 上 运行 Docker CLI 命 令 时 ，Docker 
Toolbox 会 设置 这 个 变量 的 值 。 


此 外 ， 也 可 以 运行 docker-machine ip 命令 来 查看 Docker Toolbox 
的 IP 地 址 ， 如 代码 清单 2-38 所 示 。 


代码 清单 2-38 ”获取 Docker Toolbox 的 虚拟 机 的 IP 地 址 


$ docker-machine ip 
The VM's Host only interface IP address is: 192.168.59.103 


那么 ， 来 看 一 个 要 求 连接 localhost 上 容器 的 示例 ， 比 如 使 用 cur1l 
命令 ， 只 需 将 localhost 替换 成 相应 的 IP 地 址 即 可 。 


因此 ， 代 码 清单 2-39 所 示 的 curl 命令 束 变 成 了 代码 清单 2-40 所 示 的 形 
ae 


代码 清单 2-39 ”初始 curl 命令 


$ curl localhost :49155 


代码 清单 2-40 更 新 后 的 curl 命令 


$ curl 192.168.59.103:49155 


另外 ， 很 重要 的 一 点 是 ， 任 何 使 用 卷 或 吾 有 -v 选项 的 docker run 
命令 挂 载 到 Docker 容 器 的 示例 都 不 能 在 Windows 上 工作 。 用 户 无 法 将 
牡 主机 上 的 本 地 目录 挂 接 到 运行 在 Docker Toolboxes ALIA HY Dockerfa 
主机 上 ， 因 为 它们 无 法 共享 文件 系统 。 如 果 要 使 用 任何 带 有 卷 的 示 
例 ， 如 本 书 第 5 章 和 第 6 章 中 的 示例 ， 建 议 用 户 在 基于 Linux 的 宿主 机 上 


运行 Docker 。 


2.7 ”Docker 安 装 脚本 
还 有 男 外 一 种 方法 ， 就 是 使 用 远程 安装 脚本 在 相应 的 和 宿主 机 上 安装 
Docker。 可 以 从 get.docker.com 网 站 获取 这 个 安装 脚本 。 


ES 该 脚本 目前 只 支持 在 Ubuntu、Fedora、Debian 和 Gentoo 中 安装 Docker， 不 久 的 未 来 可 
能 会 支持 更 多 的 系统 。 


首先 ， 需 要 确认 curl 命令 已 经 安装 ， 如 代码 清单 2-41 所 示 。 


代码 清单 2-41 ”测试 curl 


$ whereis curl 
curl: /usr/bin/curl /usr/bin/X11/curl 


/usr/share/man/mani/curl.1.gz 


如 有 需要 ， 可 以 通过 apt -get 命令 来 安装 cur1 ， 如 代码 清单 2-42 所 
ZN e 


代码 清单 2-42 ”在 Ubuntu 中 安装 cur1 


$ sudo apt-get -y install curl 


在 Fedora 中 ， 可 以 使 用 yum 命令 或 者 较 新 的 dnf 命令 来 安装 cur1 ， 如 
代码 清单 2-43 所 示 。 


代码 清单 2-43 ”在 Fedora 中 安装 cur1l 


$ sudo yum -y install curl 


现在 就 可 以 利用 脚本 安装 Docker 了， 如 代码 清单 2-44 所 示 。 


代码 清单 2-44 ”使 用 安装 脚本 来 安装 Docker 


$ curl https://get.docker.com/ | sudo sh 


个 脚本 会 目 动 安装 Docker 所 需 的 依赖 ， 并 且 检 查 当 前 系统 的 内 核 版 
ERR DI Ree Sc FAT SA AO, Ba Docker 
并 启动 Docker 守 护 进 程 。 


2.8 ”二 进 制 安装 


如 果 不 想 用 任何 基于 软件 包 的 安 闭 方 法 ， 也 可 以 下 载 最 新 的 Docker 可 
执行 程序 ， 如 代码 清单 2-45 所 示 。 


代码 清单 2-45 ”下载 Docker 可 执行 程序 


$ wget http://get.docker .com/builds/Linux/x86_64/docker -latest.tgz 


不 过 本 人 不 推荐 这 种 安装 方式 ， 因 为 这 降低 了 Docker 软 件 包 的 可 维护 
性 。 使 用 软件 包 更 简单 ， 也 更 易于 管理 ， 特 别 是 在 使 用 自动 化 安装 和 
配置 管理 工具 的 情况 下 。 


2.9 Docker 守护 进程 


安装 完 Docker 后 ， 需 要 确认 Docker 的 守护 进程 是 否 运 行 。Docker 以 
root 权限 运行 它 的 守护 进程 ， 来 处 理 普通 用 户 无 法 完成 的 操作 (如 
挂 载 文 件 系统 ) ° docker 程序 是 Docker 守 护 进程 的 客户 端 程序 ， 同 
样 也 需要 以 root 身份 运行 。 用 户 可 以 使 用 docker daemon 命令 控 
制 Docker 守 护 进 程 。 


本 到 在 Docker 1.8 之 前 ，Docker 守 护 进程 是 通过 - d 标志 来 控制 的 ， 而 没有 docker 
daemon 子 命令 。 


当 Docker 软 件 包 安 装 完 毕 后 ， 默 认 会 立即 局 动 Docker 守 护 进程 。 守 护 
进程 监听 /var /run/docker . sock 这 个 Unix 套 接 字 文件 ， 来 获取 来 
自 客户 端的 Docker 请 求 。 如 果 系 统 中 存在 名 为 docker 的 用 户 组 的 

话 ，Docker 则 会 将 该 套 接 字 文件 的 所 有 者 设置 为 该 用 户 组 。 这 样 ， 
docker 用 户 组 的 所 有 用 户 都 可 以 直接 运行 Docker， 而 无 需 再 使 用 


sudo 命令 了 。 


E 前 面 已 经 提 到 ， 尽 管 docker 用 户 组 方便 了 Docker 的 使 用 ， 但 它 毕 竟 是 一 个 安全 隐 
患 。 因 为 docker 用 户 组 对 Docker 具 有 与 root AF 同 的 权限 ， 所 以 docker 用 户 组 中 应 
该 只 能 添加 那些 确实 需要 使 用 Docker 的 用 户 和 程序 。 


2.9.1 ”配置 Docker 守 护 进 程 


oo 进程 时 ， 可 以 用 -H fava Val RESP SP ot ES eT FR pS 
Ro 


可 以 使 用 -H 标志 指定 不 同 的 网 络 接口 和 端口 配置 。 例 如 ， 要 想 绑 定 到 
网 络 接口 ， 命 令 如 代码 清单 2-46 所 示 。 


> 


代码 清单 2-46 ”修改 Docker 守 护 进程 的 网 络 


$ sudo docker daemon -H tcp://0.0.0.0:2375 


Iki SS Dockers Fst FFB E 7S EDL EMA ZB o 
poe Rade 目 动 监测 到 网 络 的 变化 ， 需 要 通过 -H 选项 来 指定 服 

器 的 地 址 。 例如 ， 如 果 把 守护 进程 端口 改 成 4200 ， 那 么 运行 客户 
o 须 指 docker -H :4200 。 如 果 不 想 每 次 运行 客户 端 时 都 
加 上 -H 标志， 可 以 通过 设置 DOCKER_HOST 环境 变量 来 省 略 此 步骤 ， 
如 代码 清单 2-47 所 示 。 


代码 清单 2-47 使 用 DOCKER_HOST 环境 变量 


$ export DOCKER_HOST="tcp://0.0.0.0:2375" 


ae 默认 情况 下 ，Docker 的 客户 端 -服务 器 通信 是 不 经 认证 的 。 这 就 意味 着 ， 如 果 把 Docker 
绑 定 到 对 外 公开 的 网 络 接口 上 ， 那 么 任何 人 都 可 了 连接 到 该 Dockers 户 进 程 。 ° Docker 0.9% 

高 版 本 提供 了 TLS 认 证 。 在 本 书 第 8 章 介 绍 Docker API 时 读者 会 详细 了 解 如 何 启用 TLS 认 
证 。 


ct 


也 能 通过 -H 标志 指定 一 个 Unix 套 接 字 路 径 ， 例 如 ， 指 定 
unix://home/docker/ docker.socket ， 如 代码 清单 2-48 所 
ZN O 


代码 清单 2-48 ”将 Docker 守 护 进程 绑 定 到 非 默认 套 接 字 


$ sudo docker daemon -H unix://home/docker/docker.sock 


当然 ， 也 可 以 同时 指定 多 个 绑 定 地 址 ， 如 代码 清单 2-49 所 示 。 


代码 清单 2-49 将 Docker 守 护 进 程 绑 定 到 多 个 地 址 


$ sudo docker daemon -H tcp://0.0.0.0:2375 -H unix://home/docker/ 


docker.sock 


EHD 如果 你 的 Docker 运 行 在 代理 或 者 公司 防火 墙 之 后 ， 也 可 以 使 用 HTTPS_PROXY ` 
HTTP_ PROXY 和 NO_PROXY 选项 来 控制 守护 进程 如 何 连接 。 


还 可 以 使 用 -D 标志 来 输出 Docker 守 护 进 程 的 更 详细 的 信息 ， 如 代码 清 
单 2-50 所 示 。 


代码 清单 2-50 ”开启 Docker 守 护 进 程 的 调试 模式 


$ sudo docker daemon -D 


要 想 让 这 些 改动 永久 生效 ， 需 要 编辑 启动 配置 项 。 在 Ubuntu 中 ， ， 需 要 
编辑 /etc /default/docker 文件 ， 并 修改 DOCKER_OPTS 变量 。 


在 Fedora 和 Red Hat 发 布 版 本 中 ， 则 需要 编 

辑 /usr/lib/systemd/system/ docker. service 文件 ， 并 修 
改 其 中 的 ExecStart 配置 项 。 或 者 在 之 后 的 版 本 中 编辑 /etc/ 
sysconfig/docker 文件 。 


Ezg 在 其 他 平台 中 ， 可 以 通过 适当 的 init 系统 来 管理 和 更 新 Docker 守 护 进 程 的 启动 配 


2.9.2 ”检查 Docker 和 守护 进程 是 否 正在 运行 


在 Ubuntu 中 ， 如 果 Docker 是 通过 软件 包 安 闭 的 话 ， 可 以 运行 Upstart 的 
Status 命令 来 检查 Docker 守 护 进 程 是 否 正在 运行 ， 如 代码 请 单 2-51 
所 示 。 


代码 清单 2-51 检查 Docker 守 护 进 程 的 状态 


$ sudo status docker 
docker start/running, process 18147 


此 外 ， 还 可 以 用 Upstart 的 start 和 stop 命令 来 启动 和 停止 Docker 守 
护 进 程 ， 如 代码 清单 2-52 所 示 。 


代码 清单 2-52 ”用 Upstart 启 动 和 停止 Docker 守 护 进 程 


stop docker 
stop/waiting 
start docker 


start/running, process 18192 


在 Red Hat 和 Fedora 中 ， 只 需要 用 service 命令 就 可 以 完成 同样 的 工 
作 ， 如 代码 清单 2-53 所 示 。 


代码 清单 2-53 ”在 Red Hat 和 Fedora 中 启动 和 停止 Docker 


$ sudo service docker stop 
Redirecting to /bin/systemctl stop docker.service 
$ sudo service docker start 


Redirecting to /bin/systemctl start docker.service 


如 果 守 护 进 程 没有 运行 ， 执 行 docker 客户 端 命令 时 就 会 出 现 类 似 代 
码 清单 2-54 所 示 的 错误 。 


代码 清单 2-54 ”Docker 守 护 进程 没有 运行 的 错误 


2014/05/18 20:08:32 Cannot connect to the Docker daemon. Is 
"docker -d' 


running on this host? 


EZS Docker 0.4.0 版 本 以 前 ，docker 客户 端 命令 有 “独立 模式 ”(stand-alone) ， 在 “独立 
sa 下 ， 客 户 端 不 需要 运行 Docker 守 护 进 程 就 可 以 独立 运行 。 不 过 现在 这 种 模式 已 经 被 废 
TF o 


2.10 “升级 Docker 


Docker 安 装 之 后 ， 也 可 以 很 容易 地 对 其 进行 升级 。 如 果 是 通过 类 似 
apt-get 或 yum 这 样 的 原生 软件 包 安 装 的 Docker， 也 可 以 用 同样 的 方 
法 对 Docker 进 行 升级 。 


例如 ， 可 以 运行 apt-get update 命令 ， 然 后 安装 新 版 本 的 
Docker。 我 们 使 用 apt-get install 命令 来 升级 Docker， 这 是 因为 
docker-engine ( 即 之 前 的 ljxc-docker ) 包 一 般 都 是 固定 的 ， 如 
代码 清单 2-55 所 示 。 


代码 清单 2-55 ”升级 Docker 


$ sudo apt-get update 
$ sudo apt-get install docker-engine 


2.11 Docker 用 户 界面 


Docker 安 闭 之 后 ， 也 可 以 用 图 形 用 户 界 面 来 进行 管理 。 目 前 ， 有 一 些 
正在 开发 中 的 Docker 用 户 界 面 和 Web 控 制 台 ， 它 们 都 处 于 不 同 的 开发 
阶段 ， 具 体 如 下 。 


e Shipyard |2>] :Shipyard 提供 了 通过 管理 界面 来 管理 各 种 Docker 资 

源 (包括 容器 、 镜 像 、 宿 主机 等 ， 的 功能 。Shipyard 是 开源 的 ， 

源 代码 可 以 在 [https://github.com/ehazlett/ shipyard] 

(https://github.com/ehazlett/ shipyard)3k t= ° 

DockerUI 26] :DockerUI 是 一 个 可 以 与 Docker Remote API 交 互 的 

Web 界 面 。DockerUI 是 基于 AngularJS 框 架 ， 采 用 JavaScript 编 写 

HY ° 

e Kitematic: Kitematic 是 一 个 OS X 和 Windows 下 的 GUI 界面 工具 ， 
用 于 帮助 我 们 在 本 地 运行 Docker 以 及 与 Docker Hub 进 行 交 互 。 它 
是 由 Docker 公 司 免 费 发 布 的 产品 ， 它 也 被 包含 在 Docker Toolbox 之 
中 o 


2.12 ”小结 


在 本 章 辐 大 家 介绍 了 在 各 种 平台 上 安装 Docker 的 方法 ， 还 介绍 了 如 何 
管理 Docker 守 护 进 程 。 


在 下 一 半 中 ， 我 们 将 开始 正式 使 用 Docker。 我 们 将 从 容器 的 基础 知识 
开始 ， 介 绍 基 本 的 Docker 操 作 。 如 果 读 者 已 经 安装 好 了 Docker， 并 做 
好 了 准备 ， 那 么 请 翻 到 第 3 半 吧 。 
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3 Docker 入 门 


在 上 一 章 中 ， 我 们 学 习 了 如 何 安 装 Docker， ae atl ee 
正常 运行 。 在 本 章 中 ， 我 们 将 迈 出 使 用 Docker 的 第 一 eed 
Docker 容 絮 。 本 章 还 会 介绍 如 何 与 Docker 进 行 J o 


3.1 ”确保 Docker 已 经 就 绪 


首先 ， 我 们 会 查看 Docker 是 否 能 正常 工作 ， 然 后 学 习 基 本 的 Docker 的 
工作 流 : 创建 并 管理 容器 。 a 型 生命 周期 : 从 创 
建 、 管 理 到 停止 ， 直 到 最 终 删 除 。 


a 步 ， 查 看 docker 程序 是 否 存在 ， 功 能 是 否 正 常 ， 如 代码 清单 3-1 
所 示 。 


代码 清单 3-1 查看 docker 程序 是 否 正常 工作 


$ sudo docker info 

Containers: 1 

Images: 8 

Storage Driver: aufs 
Root Dir: /var/lib/docker/aufs 
Backing Filesystem: extfs 
Dirs: 10 

Execution Driver: native-0.2 


Kernel Version: 3.13.0-43-generic 

Operating System: Ubuntu 14.04.2 LTS 

CPUs: 1 

Total Memory: 994 MiB 

Name: riemanna 

ID: DOIT:XN5S:WNYP:WP7Q: BEUP: EBBL: KGIX: GO3V: NDR7: YW6E: VFXT:FXHM 
WARNING: No swap limit support 


在 这 里 我 们 调用 了 docker 可 执行 程序 的 info 命令， 该 命令 会 返回 所 
有 容器 和 镜像 《镜像 即 是 Docker 用 来 构建 容器 的 “构建 块 ") 的 数量 、 


Docker 使 用 的 执行 驱动 和 存储 驱动 (execution and storage driver) ， 以 
及 Docker 的 基本 配置 。 


在 前 面 儿 章 已 经 介绍 过 ，Docker 是 基于 客户 并 -服务 帮 构 架 的 。 它 有 一 
个 docker 程序 ， 既 能 作为 客户 端 ， 也 可 以 作为 服务 器 端 。 作 为 客户 
端 时 ，docker 程序 向 Docker 守 护 进程 发 送 请 求 〈 如 请 求 返 回 守 护 进 
程 自 身 的 信息 ) ， 然 后 再 对 返回 的 请 求 结 果 进 行 处 理 。 


3.2 ”运行 我 们 的 第 一 个 容器 


现在 ， 让 我 们 尝试 启动 第 一 个 Docker 容 器 。 我 们 可 以 使 用 docker 
run 命令 创建 容器 ， 如 代码 清单 3-2 所 示 。docker run 命令 提供 了 
n eee 在 本 书 中 我 们 也 会 使 用 该 命令 来 创 


> 


代码 清单 3-2 ”运行 我 们 的 第 一 个 容器 


$ sudo docker run -i -t ubuntu /bin/bash 

Unable to find image 'ubuntu' locally 

ubuntu:latest: The image you are pulling has been verified 
511136ea3c5a: Pull complete 

d497ad3926c8: Pull complete 

ccb62158e970: Pull complete 

e791be0477f2: Pull complete 


3680052c0f5c: Pull complete 

22093c35d77b: Pull complete 

5506de2b643b: Pull complete 

Status: Downloaded newer image for ubuntu:latest 
root@fcd78e1a3569:/# 


ESN grocs O 列 出 了 完整 的 Docker 命 令 列 表 ， 也 可 以 使 用 docker help 获取 这 些 合 
令 。 此 外 ， 还 可 以 使 用 Docker 的 man 页 ( 即 执行 nan docker-run) 。 


代码 清单 3-3 所 示 的 命令 的 输出 结 采 非常 丰富 ， 下 面 来 逐条 解析 。 


代码 清单 3-3 docker run 命令 


$ sudo docker run -i -t ubuntu /bin/bash 


首先 ， 我 们 告诉 Docker 执 行 docker run 命令 ， 并 指定 了 - 工 和 -t 两 
个 命令 行 参数 。-i 标志 保证 容器 中 STDIN 是 开启 的 ， 尽 管 我 们 并 没 
有 附着 到 容器 中 。 持 入 的 标准 输入 是 交互 式 shell 的 “半边 天 ”，-t 标志 
则 是 另外 “半边 天 ”， 它 告诉 Docker 为 要 创建 的 容器 分 配 一 个 伪 tty 终 
端 。 这 样 ， 新 创建 的 容器 才能 提供 一 个 交互 式 shell。 若 要 在 命令 行 下 
创建 一 个 我 们 能 与 之 进行 交互 的 容器 ， 而 不 是 一 个 运行 后 台 服 务 的 容 
器 ， 则 这 两 个 参数 已 经 是 最 基本 的 参数 了 。 


Ea 言 方 文档 2) 上 列 出 了 docker run 命令 的 所 有 标志 ， 此 外 还 可 以 用 命令 docker 
help run 查看 这 些 标志 “。 或 者 ， 也 可 以 用 Docker 的 man 页 (也 就 是 执行 han docker- 
run 命令 ) 。 


接 下 来 ， 我 们 告诉 Docker 基 于 什么 镜像 来 创建 容器 ， 示 例 中 使 用 的 是 
ubuntu 镜像 。ubuntu 镜像 是 一 个 常备 镜像 ， 也 可 以 称 为 “ 基 

TE” (base) 镜像 ， 它 由 Docker 公 司 提供 ， 保 存在 Docker Hub DB 
Registry E ° "J U Lubuntu 基础 镜像 (以 及 类 似 的 fedora ` 
debian ` centos 等 镜像 ) 为 基础 ， 在 选择 的 操作 系统 上 构建 自己 
的 镜像 。 到 目前 为 止 ， 我 们 基于 此 基础 镜像 启动 了 一 个 容器 ， 并 且 没 
有 对 容器 增加 任何 东西 。 


销 结 我 们 将 在 第 4 章 对 镜像 做 更 详细 的 介绍 ， 包 括 如 何 构 建 我 们 自己 的 镜像 。 


那么 ， 在 这 一 切 的 背后 又 都 发 生 了 什么 昵 ? 首先 Docker 会 检查 本 地 是 
否 存在 ubuntu 镜像 ， 如 果 本 地 还 没有 该 镜像 的 话 ， 那 么 Docker 就 会 
连接 官方 维护 的 Docker Hub Registry, #@Docker Hub 中 是 否 有 该 镜 
像 。Docker 旦 找到 该 镜像 ， 就 会 下 载 该 镜像 并 将 其 保存 到 本 地 宿主 


随后 ，Docker 在 文件 系统 内 部 用 这 个 镜像 创建 了 一 个 新 容 右 。 该 容器 
拥有 目 己 的 网 络 、IP 地 址 ， 以 及 一 个 用 来 和 宿主 机 进行 通信 的 桥接 网 
络 接 口 。 最 后 ， 我 们 告诉 Docker 在 新 容 絮 中 要 运行 什么 命令 ， 在 本 例 
中 我 们 在 容器 中 运行 /bin/bash 命令 启动 了 一 个 Bash shell 。 


当 容 器 创建 完毕 之 后 ，Docker 束 会 执行 容器 中 的 /bin/bash 命令 ， 
这 时 就 可 以 看 到 容器 内 的 shell 了 ， 就 像 代码 清单 3-4 所 示 。 


代码 清单 3-4 ”第 一 个 容器 的 shell 


root@f7cbdac22a02:/# 


3.3 PHB Meat 


现在 ， 我 们 已 经 以 root HAERE] TMA +H, RAID 
f7cbdac22a02 ， 乍 看 起 来 有 些 令 人 迷惑 的 字符 串 `。 这 是 一 个 完整 
的 Ubuntu 系统 ， 可 以 用 它 来 做 任何 事情 。 下 面 就 来 研究 一 下 这 个 容 
絮 。 上 首先， 我们 可 以 获取 该 容器 的 主机 名 ， 如 代码 清单 3-5 所 示 。 


代码 清单 3-5 ”检查 容器 的 主机 名 


root@f7cbdac22a02:/# hostname 
f7cbdac22a02 


可 以 看 到 ， 容 器 的 主机 名 就 是 该 容器 的 ID。 再 来 看 看 /etc/hosts X 
件 ， 如 代码 清单 3-6 所 示 。 


代码 清单 3-6 检查 容器 的 /etc/hosts 文 件 


root@f7cbdac22a02:/# cat /etc/hosts 
172.17.0.4 f7cbdac22a02 

127.0.0.1 localhost 

::1 localhost ip6-localhost ip6-loopback 
fe00::0 ip6-localnet 


ff00::0 ip6-mcastprefix 
ff02::1 ip6-allnodes 
ff02::2 ip6-allrouters 


Docker hosts 文件 中 为 该 容器 的 IP 地 址 添加 了 一 条 主机 配置 项 。 
再 来 看 看 容 絮 的 网 络 配 置 情况 ， 如 代码 清单 3-7 所 示 。 


代码 清单 3-7 检查 容器 的 接口 


root@f7cbdac22a02:/# ip a 

1: lo: <LOOPBACK, UP, LOWER_UP> mtu 1500 qdisc noqueue state 
UNKNOWN group default 

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 


inet 127.0.0.1/8 scope host lo 

inet6 ::1/128 scope host 

valid_lft forever preferred_lft forever 

899: eth0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast 
state UP group default qlen 1000 

link/ether 16:50:3a:b6:f2:cc brd ff: ff: ff: ff: fF: fF 

inet 172.17.0.4/16 scope global etho 

inet6 fe80: :1450:3aff:feb6:f2cc/64 scope link 

valid_lft forever preferred_lft forever 


可 以 看 到 ， 这 里 有 1o 的 环 回 接口 ， 还 有 PP 为 172 .17.0.4 的 标准 
etho 网 络 接口 ， 和 普通 宿主 机 是 完全 一 样 的 。 我 们 还 可 以 查看 容器 
中 运行 的 进程 ， 如 代码 清单 3-8 所 示 。 


代码 清单 3-8 ”检查 容器 的 进程 


root@f7cbdac22a02:/# ps -aux 
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND 
root 1 0.0 0.0 18156 1936 ? Ss May30 0:00 /bin/bash 


root 21 0.0 0.0 15568 1100 ? R+ 02:38 0:00 ps -aux 


BES REPL AWE? 安装 一 个 软件 包 怎么 样 9 如 代码 清单 3-9 所 示 。 


代码 清单 39 在 第 一 个 容器 中 安装 软件 包 


root@f7cbdac22a02:/# apt-get update && apt-get install vim 


iw kun, BITE Aas PS T Vimi © 


HA ay DAR Se te Aa BCE Ay UR So SS a LE Bea 
时 ， 输 入 exit ， 就 可 以 返回 到 Ubuntu 宿 主机 的 命令 行 提示 符 了 。 


这 个 容器 现在 怎样 了 ? 容器 现在 已 经 停止 运行 了 ! 只 有 在 指定 

的 /bin/bash 命令 处 于 运行 状态 的 时 候 ， 我 们 的 容器 也 才 会 相应 地 
处 于 运行 状态 。 一 旦 退出 容器 ，/bin/bash 命令 也 就 结束 了 ， 这 时 
容器 也 随 之 停止 了 运行 。 


但 容器 仍然 是 存在 的 ， 可 以 用 docker ps -a 命令 查看 当前 系统 中 容 
如 的 列表 ， 如 代码 清单 3-10 所 示 。 


代码 清单 3-10” 列 出 Docker 容 器 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
1lcd57c2cdf7f ubuntu:14.04 "/bin/bash" A minute Exited 


gray_cat 


ee 当 执 行 docker ps 命令 时 ， 只 能 看 到 正在 运行 的 容 
o 如果 指 定 -a 标志 的 话 ， 那 么 docker ps 命令 会 列 出 所 有 容器 ， 
REE GHAI? AB IEA ° 


EH th yb Adocker ps 命令 指定 -1 标志 ， o o 个 运行 的 容器 ， 无 论 其 正在 运行 
还 是 已 经 停止 。 也 可 以 通过 - -format 标志 ， 进 一 步 控 制 显 cause E a, DAU RIX 
些 信 息 。 


从 该 命令 的 得 出 结 末 中 我 们 可 以 看 到 关于 这 个 容 需 RURE A fE a: 
ID ` HTAA RA > AAA DUT AY a8 i 令 、 创 建 时 间 以 及 容 
FRADE HAARAS (在 上 面 的 例子 中 ， eer , AA Aas ei WIE 
oe 命令 退出 的 ) 。 我 们 还 可 以 看 到 ， 每 个 容器 都 有 一 个 名 
Ro 


EJET LE HERA: 短 UUID (如 f7cbdac22a02 ) 、 长 UUID (如 
22a62863c9438c729345e54db9d20cfa2aclfc3494b66b60872874778 
) 或 者 名 称 (如 gray_cat ) 。 


3.4 ”容器 命名 


Docker 会 为 我 们 创建 的 每 一 个 容 右 目 动 生 成 一 个 随机 的 名 称 。 例 如 ， 

上 面 我 们 刚刚 创建 的 容器 就 被 命名 为 gray_cat ° WREN AATE 
一 个 名 称 ， 而 不 是 使 用 目 动 生成 的 名 称 ， 则 可 以 用 - -name 标志 来 实 
现 ， 如 代码 清单 3-11 所 示 。 


代码 清单 3-11 给 容器 命名 


$ sudo docker run --name bob the container -i -t ubuntu /bin/bash 
root@aa3f365f0f4e:/# exit 


上 上 述 命 仿 料 会 创建 一 个 名 为 bob_the_container 的 容器 。 一 个 合法 
的 容器 名 称 只 能 包含 以 下 字符 : 小 写字 母 awz、 大 写字 母 A~Z、 数 字 


0~9、 下 划 线 、 圆 点 、 横 线 (如 果 用 正则 表达 式 来 表示 这 些 符号 ， 就 
jz [a-ZA-ZO-9_.-]) ° 


在 很 多 Docker 命 令 中 ， 都 可 以 用 容器 的 名 称 来 蔡 代 容器 ID， 后 面 我 们 
将 会 看 到 。 容 器 名 称 有 助 于 分 辨 容 器， 当 构 建 容 右 和 应 用 程序 之 间 的 
逻辑 连接 时 ， 容 器 的 名 称 也 有 助 于 从 逻辑 上 理解 连 返 关 系 。 具 体 的 名 
称 (如 web、db ) 比 容器 ID 和 随机 容器 名 好 记 多 了 。 我 推荐 大 家 都 
使 用 容 絮 名 称 ， 以 更 加 方便 地 管理 容器 。 


配 到 对 我 们 将 会 在 第 5 章 详细 介绍 如 何 连 接 到 Docker 容 器 。 
容 吴 的 命名 必须 是 唯一 的 。 如 末 试 图 创建 两 个 名 称 相 同 的 容 莫 ， 则 命 


令 将 会 失败 。 如 果 要 使 用 的 容器 名 称 已 经 存在 ， 可 以 先 用 docker rm 
命令 删除 已 有 的 同名 容 右 后 ， 表 来 创建 新 的 容 右 。 


35 ”重新 启动 已 经 停止 的 容器 


bob_the_container 容 姨 已 经 停止 了 ， 接 下 来 我 们 能 对 它 做 些 什 么 
呢 ? 如 果 愿 意 ， 我 们 可 以 用 下 面 的 命令 重新 启动 一 个 已 经 停止 的 容 
絮 ， 如 代码 清单 3-12 所 示 。 


代码 清单 3-12 启动 已 经 停止 运行 的 容器 


$ sudo docker start bob the container 


了 容器 名 称 ， 也 可 以 用 容器 ID 来 指定 容 右 ， 如 代码 清单 3-13 所 示 。 


代码 清单 3-13 ”通过 ID 启动 已 经 停止 运行 的 容器 


$ sudo docker start aa3f365f0f4e 


| EŻ ey docker restart 命令 来 重新 启动 一 个 容器 。 


is 


这 时 运行 不 带 -a 标志 的 docker ps 命令 ， 就 应 该 看 到 我 们 的 容器 已 
经 开始 运行 了 。 


F 


类 似 地 ，Docker 也 提供 了 docker create 命令 来 创建 一 个 容器 ， 但 是 并 不 运行 它 。 这 让 我 
们 可 以 在 自己 的 容器 工作 流 中 对 其 进行 细 粒 度 的 挖 肯 


3.6 ”附着 到 容器 上 


Docker 容 器 重新 启动 的 时 候 ， 会 沿用 docker run 命令 时 指定 的 参数 
来 运行 ， 因 此 我 们 的 容器 重新 启动 后 会 运行 一 个 交互 式 会 话 shell。 此 
外 ， 也 可 以 用 docker attach 命令 ， 重 新 附着 到 该 容器 的 会 话 上 ， 

如 代码 清单 3-14 所 示 。 


地 


o 


= 


代码 清单 3-14 ”附着 到 正在 运行 的 容器 


$ sudo docker attach bob the container 


也 可 以 使 用 容 絮 ID， 重 新 附着 a 到 容器 的 会 话 上 ， 如 代码 清单 3-15 所 


修 ° 


代码 清单 3-15 “通过 ID 附着 到 正在 运行 的 容器 


$ sudo docker attach aa3f365fof4e 


现在 ， 又 重新 回 到 了 容器 的 Bash 提 示 符 ， 如 代码 清单 3-16 所 示 。 
代码 清单 3-16 ”重新 附着 到 容器 的 会 话 


root@aa3f365f0f4e:/_#_ 


ERD ERG EE FEET AEE ATK SIE © 


如 果 退 出 容器 的 shell， 容 器 会 再 次 停止 运行 。 


3.7 ”创建 守护 式 容 器 


除了 这 些 交 互 式 运 行 的 容器 (interactive container) ， 也 可 以 创建 长 期 
运行 的 容器 ° 守护 式 容 (daemonized container) 没有 交互 式 会 话 ， 
非常 适合 运行 应 用 程序 和 服务 。 大 多 数 时候 我 们 都 需要 以 守护 式 来 运 


(THAN Aer ° PRR MEP rae, WORST 3-17 
ZR œ 


代码 清单 3-17 ”创建 长 期 运行 的 容器 


$ sudo docker run --name daemon dave -d ubuntu /bin/sh -c "while 
true; do echo hello world; sleep 1; done" 


1333bb1a66af402138485fe44a335b382c09a887aa9f95cb9725e309ce5b7db3 


我 们 在 上 面 的 docker run 命令 使 用 了 -d 参数 ， 因 此 Docker 会 将 容 
器 放 到 后 台 运 行 。 


我 们 还 在 容器 要 运行 的 命令 里 使 用 了 一 个 while 循环 ， 该 循环 会 一 直 
打印 hel1o world ， 直 到 容器 或 其 进程 停止 运行 。 


通过 组 合 使 用 上 面 的 这 些 参数 ， 你 会 发 现 docker run 命令 并 没有 像 
上 一 个 容 忌 一 样 将 主机 的 控制 全 附着 到 新 的 shell 会 话 上 ， 而 是 仅仅 返 
回 了 一 个 容器 ID 和 而已， 我 们 还 是 在 主机 的 命令 行 之 中 。 如 果 执 行 
docker ps 命令 ， 可 以 看 到 一 个 正在 运行 的 容器 ， 如 代码 清单 3-18 所 
ZR œ 


代码 清单 3-18 ”查看 正在 运行 的 daemon_dave 容器 


CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 
1333bb1a66af ubuntu:14.04 /bin/sh -c 'while tr 32 secs ago Up 27 


daemon_dave 


3.8 ”容器 内 部 都 在 干 些 什么 


现在 我 们 已 经 有 了 一 个 在 后 台 运 行 While 循环 的 守护 型 容器 。 为 了 探 
究 该 容器 内 部 都 在 干 些 什 么 ， 可 以 用 docker logs 命令 来 获取 容器 
的 日 志 ， 如 代码 清单 3-19 所 示 。 


代码 清单 3-19 ”获取 守护 式 容 器 的 日 志 


$ sudo docker logs daemon_dave 
hello world 


hello world 
hello world 
hello world 
hello world 
hello world 
hello world 


这 里 ， 我 们 可 以 看 到 while HAEN AE EFTEUhello world e 
Docker 会 输出 最 后 几 条 日 志 项 并 返回 。 我 们 也 可 以 在 命令 后 使 用 -f 2 
数 来 监控 Docker 的 日 志 ， 这 与 tail -f 命令 非常 相似 ， 如 代码 清单 3- 
20 所 示 。 


代码 清单 3-20 跟踪 守护 式 容器 的 日 志 


$ sudo docker logs -f daemon_dave 
hello world 
hello world 
hello world 
hello world 
hello world 
hello world 
hello world 


Estas 可 以 通过 Ctr+C 退出 日 志 跟 踪 。 


我 们 也 可 以 跟踪 容 颖 日 志 的 某 一 厂 段 ， 和 之 前 类 似 ， 只 需要 在 tail 

命令 后 加 入 -f --tail 标志 即 可 。 例 如 ， 可 以 用 docker logs -- 
tail 10 daemon_dave 获取 日 志 的 最 后 10 行 内 容 。 另 外 ， 也 可 以 

用 docker logs --tail 0 -f daemon_dave 命令 来 跟踪 某 个 容 
怖 的 最 新 日 志 而 不 必 读 取 整 个 日 志文 件 。 


为 了 让 调试 更 简单 ， 还 可 以 使 用 -t 标志 为 每 条 日 志 项 加 上 时 间 难 ， 如 
代码 清单 3-21 所 示 。 


代码 清单 3-21 跟踪 守护 式 容器 的 最 新 日 志 


$ sudo docker logs -ft daemon_dave 
[May 10 13:06:17.934] hello world 
[May 10 13:06:18.935] hello world 


[May 10 13:06:19.937] hello world 
[May 10 13:06:20.939] hello world 
[May 10 13:06:21.942] hello world 


ESA 同样 ， 可 以 通过 Ctr+C 退出 日 志 跟 踪 。 


3.9 Docker H IKI) 


H Docker 1.6 开 始 ， 也 可 以 控制 Docker 守 护 进 程 和 容器 所 用 的 日 志 张 
动 ， 这 可 以 通过 --log-driver 选 项 来 实现 。 可 以 在 启动 Docker 守 护 进 程 
或 者 执行 docker run 命 令 时 使 用 这 个 选项 。 


有 好 几 个 选项 ， 包 括 默认 的 json-file，json-file 也 为 我 们 前 面 看 到 的 
docker logs 命 令 提供 了 基础 。 


其 他 可 用 的 选项 还 包括 syslog， 该 选项 将 禁用 docker logs 命 令 ， 并 且 将 
所 有 容器 的 日 志 输 出 都 重 定 同 到 Syslog。 可 以 在 启动 Docker 守 护 进 程 
时 指定 该 选项 ， 将 所 有 容 絮 的 日 志 都 输出 到 Syslog， 或 者 通过 docker 
run 对 个 别 的 容器 进行 日 志 重 定 辐 输出 。 


代码 清单 3-22 ”在 容器 级 别 启 动 Syslog 


$ sudo docker run --log-driver="syslog" --name daemon dwayne -d 
ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; 
done" 


E RE £ Docker Toolbox 中 运行 Docker， 应 该 在 虚拟 机 中 启动 Syslog 守 护 进 程 。 可 以 先 
通过 docker-machine ssh 命令 连接 到 Docker Toolbox 虚 拟 机 ， 再 在 其 中 运行 Syslogd 命 
令 来 启动 Syslog 守 护 进程 。 


上 面 的 命令 会 将 daemon_dwayne 容 器 的 日 志 都 输出 到 Syslog， 导 和 致 
docker logs 命 令 不 输出 任何 东西 。 


最 后 ， 还 有 一 个 可 用 的 选项 是 none， 这 个 选项 将 会 禁用 所 有 容器 中 的 
日 志 ， 导 致 docker logs 命 令 也 被 禁用 。 


新 的 日 志 驱 动 也 在 不 断 地 增加 ， 在 Docker 1.8 中 ， 新 增 了 对 Graylog GELF 协 议 4! > Fluentd 
51 以 及 日 志 轮 转 驱 动 的 支持 。 


3.10 ”查看 容器 内 的 进程 


除了 容器 的 日 志 ， 也 可 以 查看 容器 内 部 运行 的 进程 。 要 做 到 这 一 点 ， 
要 使 用 docker top 命令 ， 如 代码 清单 3-23 所 示 ° 


代码 清单 3-23 ”查看 守护 式 容器 的 进程 


$ sudo docker top daemon_dave 


该 命令 执行 后 ， 可 以 看 到 容器 内 的 所 有 进程 (主要 还 是 我 们 的 while 
循环 ) 、 运 行进 程 的 用 户 及 进程 ID， 如 代码 清单 3-24 所 示 。 


代码 清单 3-24 docker top 命令 的 输出 结果 


PID USER COMMAND 
977 root /bin/sh -c while true; do echo hello world; sleep 1; 
done 


1123 root sleep 1 


3.11 Docker 统 计 信 息 


除了 docker top 命令 ， 还 可 以 使 用 docker stats 命令 ， 它 用 来 
显示 一 个 或 多 个 容器 的 统计 信息 。 让 我 们 来 看 看 它 的 输出 是 什么 样 
的 。 下 面 我 们 来 查看 一 下 容器 daemon_dave 以 及 其 他 守护 式 容器 的 


统计 信息 。 


代码 清单 3-25 docker stats 命 令 


$ sudo docker stats daemon dave daemon kate daemon clare 
daemon_sarah 


CONTAINER CPU % MEM USAGE/LIMIT MEM % NET I/0 BLOCK 
1/0 

daemon_clare 0.10% 220 KiB/994 MiB 0.02% 1.898 KiB/648 B 12.75 
MB / 0B 


daemon_dave 0.14% 212 KiB/994 MiB 0.02% 5.062 KiB/648 B 1.69 
MB / 0B 


daemon_kate 0.11% 216 KiB/994 MiB 0.02% 1.402 KiB/648 B 24.43 
MB / 0B 
daemon_sarah 0.12% 208 KiB/994 MiB 0.02% 718 B/648 B 11.12 
MB / 0B 


Ful HE BI NFPA RISE, DAR EMIAICPU ` A > IOo 
0 。 这 对 快速 监控 一 台 主 机 上 的 一 组 容器 非常 有 


EJ docker stats 是 Docker 1.5.0 中 引入 的 命令 。 


3.12 ”在 容器 内 部 运行 进程 


在 Docker 1.3 之 后 ， 也 可 以 通过 docker exec 命令 在 容器 内 部 额外 启 
动 新 进程 。 可 以 在 容器 内 运行 的 进程 有 两 种 类 型 : 后 台 任务 和 交互 式 
任务 。 后 台 任 务 在 容器 内 运行 且 没 有 交互 需求 ， 而 交互 式 任务 则 保持 
在 前 台 运 行 。 对 于 需要 在 容 絮 内 部 打开 shell 的 任务 ， 交 互 式 任务 是 很 
实用 的 。 下 面 先 来 看 一 个 后 台 任 务 的 例子 ， 如 代码 清单 3-26 所 示 。 


代码 清单 3-26 在 容器 中 运行 后 台 任务 


$ sudo docker exec -d daemon_dave touch /etc/new_config_file 


这 里 的 -d 标志 表明 需要 运行 一 个 后 台 进 程 ，-d 标志 之 后 ， 指 定 的 是 
要 在 内 部 执行 这 个 命令 的 容器 的 名 字 以 及 要 执行 的 命令 。 上 面 例子 中 
的 命令 会 在 daemon_dave 容器 内 创建 了 一 个 空 文件 ， 文 件 名 

为 /etc/new_config_file。 通 过 docker exec HEME, ALI 
在 正在 运行 的 容器 中 进行 维护 、 监 控 及 管理 任务 。 

EZ 从 Docker 1.7 开 始 ， 可 以 对 docker exec 启动 的 进程 使 用 -u 标志 为 新 启动 的 进程 指 
定 一 个 用 户 属 主 。 


我 们 也 可 以 在 daemon_dave 容器 中 启动 一 个 诸如 打开 shell 的 交互 式 
任务 ， 如 代码 清单 3-27 所 示 。 


代码 清单 3-27 ”在 容器 内 运行 交互 命令 


$ sudo docker exec -t -i daemon_dave /bin/bash 


和 运行 交互 容器 时 一 样 ， 这 里 的 -t 和 -i 标志 为 我 们 执行 的 进程 创建 
了 TTY 并 捕捉 STDIN。 接 着 我 们 指定 了 要 在 内 部 执行 这 个 命令 的 容器 
的 名 字 以 及 要 执行 的 命令 。 在 上 面 的 例子 中 ， 这 条 命令 会 在 
daemon_dave 容器 内 创建 一 个 新 的 bash 会 话 ， 有 了 这 个 会 话 ， 我 们 
就 可 以 在 该 容器 中 运行 其 他 命令 了 。 
EBB docker exec 命令 是 Docker 1.3 引 入 的 ， 早 期 版 本 并 不 支持 该 命令 。 对 于 早期 Docker 
版 本 ， 请 参考 第 6 章 中 介绍 的 nsenter 命令 。 


3.13 ”停止 守护 式 容 器 


要 停止 守护 式 容器 ， 只 需要 执行 docker stop 命令 ， 如 代码 清单 3- 


代码 清单 3-28 停止 正在 运行 的 Docker 容 器 


$ sudo docker stop daemon_dave 


当然 ， 也 可 以 用 容 融 ID 来 指 代 容 大 名 称 ， 如 代码 铺 单 3-29 所 示 。 


代码 清单 3-29 通过 容器 ID 停止 正在 运行 的 容 


$ sudo docker stop c2c4e57c12c4 


EJ docker stop 命令 会 向 Docker 容 器 进程 发 送 SIGTERM 信号 。 如 果 想 快速 停止 某 个 容 
器 ， 也 可 以 使 用 docker kill 命令 来 向 容器 进程 发 送 SIGKILL 信和 号。 


要 想 碍 看 已 经 停止 的 容器 的 状态 ， 则 可 以 使 用 docker ps 命令 。 还 


有 一 个 很 实用 的 命令 docker ps -n x， 该 命令 会 显示 最 后 x 个 容 
器 ， 不 论 这 些 容器 正在 运行 还 是 已 经 停止 。 


3.14 AJER 
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如 有 果 由 于 某 种 错误 而 导致 容 右 集 止 运行 ， 还 可 以 通过 - -restart 标 
志 ， 让 Docker 目 动 重新 局 动 该 容 右 。- -restart 标志 会 检查 容 右 的 
退出 代码 ， 并 据 此 来 决定 是 否 要 重启 容 右 。 默认 的 行为 是 Docker 不 会 
EMAA ° 


代码 清单 3-30 是 一 个 在 docker run 命令 中 使 用 -restart 标志 的 例 
Te 


代码 清单 3-30 ”自动 重启 容器 


$ sudo docker run --restart=always --name daemon_dave -d ubuntu / 
bin/sh -c "while true; do echo hello world; sleep 1; done" 


在 本 例 中 ，- -restart 标志 被 设置 为 always。 无 论 容器 的 退出 代码 
是 什么 ，Docker 都 会 自动 重启 该 容器 。 除 了 always ， 还 可 以 将 这 个 
标志 设 为 on-failure ， 这 样 ， 只 有 当 容 姻 的 退出 代码 为 非 0 值 的 时 
候 ， 才 会 自动 重启 。 另 外 ，on-failure 还 接受 一 个 可 选 的 重启 次 数 
参数 ， 如 代码 清单 3-31 所 示 。 


代码 清单 3-31 为 on-failure 指定 count 参数 


--restart=on-failure:5 


Pal SS ear HATS A ORY, Docker? Zit BMH AAa, me 
重 局 5 次 。 


=a - -restart 标志 是 Docker1.2.0 引 入 的 选项 。 
A) 
3.15 RARE 


除了 通过 docker ps miRNA, bey MEHA docker 
inspect 来 获得 更 多 的 容器 信息 ， 如 代码 清单 3-32 所 示 。 


代码 清单 3.32 查看 容器 


$ sudo docker inspect daemon_dave 
ct 


"Tp: " 


c2c4e57c12c4c142271C031333823af 95d64b20b5d607970C334784430bcbhd0F 
" 


了 
"Created": "2014-05-10T11:49:01.902029966Z", 
"Path": "/bin/sh", 


"Args": [ 
mog" 
"while true; do echo hello world; sleep 1; done" 
]; 
"Config": { 
"Hostname": "c2c4e57c12c4", 


docker inspect 命令 会 对 容器 进行 详细 的 检查 ， 然 后 返回 


其 配置 


信息 ， 包 括 名 称 、 命 令 、 网 络 配置 以 及 很 多 有 用 的 数据 。 


也 可 以 用 -f 或者- format 标志 来 选 定理 看 结 未 ， 如 代码 清单 3-33 所 
JR œ 


代码 清单 3-33 ”有 选择 地 获取 容器 信息 


$ sudo docker inspect --format='{{ .State.Running }}' daemon_dave 
false 


上 面 这 条 命令 会 返回 容器 的 运行 状态 ， 示 例 中 该 状态 为 false 。 我 们 
j ` EE, WA aSTPHODE, ARA 3-34 Pim ° 


代码 清单 3-34 查看 容器 的 IP 地 址 


$ sudo docker inspect --format '{{ .NetworkSettings.IPAddress }}' 
daemon_dave 


172.17.0.2 


Ed - -format 或 者 -f 标志 远 非 表面 看 上 去 那么 简单 。 该 标志 实际 上 支持 完整 的 Go 语言 
模板 。 用 它 进 行 查询 时 ， 可 以 充分 利用 Go 语言 模板 的 优势 [6 。 


也 可 以 同时 指定 多 个 容器 ， 并 显示 每 个 容 磊 的 输出 结果 ， 如 代码 清单 
3-35 所 示 。 


代码 清单 3-35 ”查看 多 个 容器 


$ sudo docker inspect --format '{{.Name}} {{.State.Running}}' \ 
daemon_dave bob_the_container 


/daemon_dave false 
/bob_the_container false 


可 以 为 该 参数 指定 要 查询 和 返回 的 查看 散 列 (inspect hash) 中 的 任意 


EES-SIR TARA, Way Lowe /var/lib/docker 目录 来 深入 了 解 Docker 的 工作 原 
理 。 该 目录 存放 着 Docker 镜 像 、 容 器 以 及 容器 的 配置 。 所 有 的 容器 都 保存 
{£/var/lib/docker/containers 目录 下 。 


3.16 ”删除 容器 


如 果 容 万 已 经 不 再 使 用 ， 可 以 使 用 docker rm 命令 来 删除 它们 ， 如 
代码 清单 3-36 所 示 。 


Oo 
oO 


代码 清单 3-36 ”删除 容 


$ sudo docker rm 80430f8d0921 
80430f8d0921 


EZI 从 Docker 1.6.2 开 始 ， 可 以 通过 给 docker rm 命令 传递 -f 标志 来 删除 运行 中 的 Docker 
容器 。 这 之 前 的 版 本 必须 先 使 用 docker stop 或 docker kill 命令 停止 容器 ， 才 能 将 其 
删除 。 


目前 ， 还 没有 办 法 一 次 删除 所 有 容器 ， 不 过 可 以 通过 代码 清单 3-37 所 
示 的 小 技巧 来 删除 全 部 容器 。 


alll 


==) 
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代码 清单 3-37 删除 所 有 容 


$ sudo docker rm ‘sudo docker ps -a -q` 


上 面 的 docker ps 命令 会 列 出 现 有 的 全 部 容 絮 ，-a 标志 代表 列 出 所 
有 容器 ， 而 -q 标志 则 表示 只 需要 返回 容器 的 ID 而 不 会 返回 容器 的 其 他 
信息 。 这 样 我 们 就 得 到 了 容器 ID 的 列表 ， 并 传 给 了 docker rm 命 

令 ， 从 而 达到 删除 所 有 容器 的 目的 。 


3.17 ”小结 


本 章 中 介绍 了 Docker 容 妖 的 基本 工作 原理 。 这 里 学 到 的 内 容 也 是 本 书 
剩余 章 和 中 学 习 如 何 使 用 Docker 的 基础 。 


在 下 一 章 中 将 会 探讨 如 何 构建 目 己 的 Docker 镜 像 ， 以 及 如 何 使 用 
Docker 仓 库 和 Docker Registry ° 

[1] http://docs.docker.com/reference/commandline/cli/ 

[2] http://docs.docker.com/reference/commandline/cli/#run 

[3] http://hub.docker.com/ 


[4] https://www. graylog.org/centralize-your-docker-container-logging- 
with-graylog-native-integration/ 


[5] http://blog.treasuredata.com/blog/2015/08/03/5-use-cases-docker- 
fluentd/ 


[6] http://golang.org/pkg/text/template/ 


Bae ”使 用 Docker 镜 像 和 仓 


库 


在 第 2 章 中 ， 我 们 学 习 了 如 何 安装 Docker。 接 着 在 第 3 章 ， 我 们 义学 习 
了 包括 docker run 在 内 的 很 多 用 于 管理 Docker 容 器 的 命令 。 


再 来 看 一 下 docker run 命令 ， 如 代码 清单 4-1 所 示 。 
代码 清单 4-1 回顾 一 下 如 何 创建 一 个 最 基本 的 Docker 容 器 


$ sudo docker run -i -t --name another _container_mum ubuntux 
/bin/bash 


root@b415b317ac75:/_#_ 


这 条 命令 将 会 启动 一 个 新 的 名 为 another_container_mum We 
器 ， 这 个 容器 基于 ubuntu 镜像 并 且 会 启动 Bash shell 。 


在 本 章 中 ， 我 们 将 主要 探讨 Docker 镜 像 ， 用 来 启动 容器 的 构建 基石 。 
我 们 将 会 学 习 很 多 关于 Docker 镜 像 的 知识 ， 比 如 ， 什 么 是 镜像 ， 如 何 
对 镜像 进行 管理 ， 如 何 修改 镜像 ， 以 及 如 何 创建 、 存 储 和 共 至 目 己 创 
建 的 镜像 。 我 们 还 会 介绍 用 来 存储 镜像 的 仓库 和 用 来 存储 仓库 的 
Registry ° 


41 什么 是 Docker 镜 像 


让 我 们 通过 进一步 学 习 Docker 镜 像 来 继续 我 们 的 Docker 之 旅 。Docker 
镜像 是 由 文件 系统 苔 加 而 成 。 最 底 端 是 一 个 引导 文件 系统 ， 即 
bootfs ， 这 很 像 典 型 的 Linux/Unix 的 引导 文件 系统 。Docker 用 户 几 平 
永远 不 会 和 引导 文件 系统 有 什么 交互 。 实 际 上 ， 当 一 个 容器 局 动 后 ， 


它 将 会 被 移 到 内 存 中 ， 而 引导 文件 系统 则 会 被 卸载 (unmount) , A 
留 出 更 多 的 内 存 供 initrd 磁盘 镜像 使 用 。 


到 目前 为 止 ，Docker 看 起 来 还 很 像 一 个 典型 的 Linux 虚 拟 化 栈 。 实 际 
上 ，Docker 镜 像 的 第 二 层 是 root 文 件 系 统 rootfs ， 它 位 于 引导 文件 系 
统 之 上 。rootfs 可 以 是 一 种 或 多 种 操作 系统 “如 Debian 或 者 Ubuntu 
文件 系统 ) 。 


在 传统 的 Linux 引 导 过 程 中 ，root 文 件 系统 会 最 先 以 只 读 的 方式 加 载 ， 

当 引 导 结 束 并 完成 了 完整 性 检查 之 后 ， 它 才 会 被 切换 为 读 写 模式 。 但 
是 在 Docker 里 ，root 文 件 系 统 永 远 只 能 是 只 读 状 态 ， 并 且 Docker 利 用 联 
AmE (union mount) 技术 又 会 在 root 文 件 系统 层 上 加 载 更 多 的 只 
读 文 件 系统 。 联 合 加 载 指 的 是 一 次 同时 加 载 多 个 文件 系统 ， 但 是 在 外 
面 看 起 来 只 能 看 到 一 个 文件 系统 。 联 合 加 载 会 将 各 层 文 件 系统 琶 加 到 
一 起 ， 这 样 最 终 的 文件 系统 会 包含 所 有 底层 的 文件 和 目录 。 


Docker 将 这 样 的 文件 系统 称 为 镜像 。 一 个 镜像 可 以 放 到 另 一 个 镜像 的 
顶部 。 位 于 下 面 的 镜像 称 为 父 镜像 (parent image) ， 可 以 依次 类 推 ， 

直到 镜像 栈 的 最 底部 ， 最 底部 的 镜像 称 为 基础 镜像 (base image) 。 最 
后 ， 当 从 一 个 镜像 启动 容器 时 ，Docker 会 在 该 镜像 的 最 顶层 加 载 一 个 
直 呈 文件 系统 "我 们 起 在 Doqer 中 运行 的 程序 就 是 在 这 个 读 写 民 中 扫 
行 的 。 


ee 我 们 最 好 还 是 用 一 张 图 来 表示 一 下 ， 如 图 
4-1 所 示 。 


基础 镜像 “一 


引导 文件 系统 


容器 组 、 命 名 空间 、 
设备 映射 


内 核 


图 4-1 Docker 文 件 系 统 层 


当 Docker 第 一 次 局 动 一 个 容器 时 ， 初 始 的 读 写 层 是 空 的 。 当 文件 系统 
发 生变 化 时 ， 这 些 变 化 都 会 应 用 到 这 一 层 上 。 比如， 如 果 想 修改 一 个 
文件 ， 这 个 文件 首先 会 从 该 读 写 层 下 面 的 只 读 层 复 制 到 该 读 写 层 。 该 
文件 的 只 读 版 本 依然 存在 ， 但 是 已 经 被 读 写 层 中 的 该 文件 副本 所 隐 
HEV, o 

通常 这 种 机 制 被 称 为 写 时 复制 (copy on write) ， 这 也 是 使 Docker 如 此 
强大 的 技术 之 一 。 每 个 只 读 镜像 层 都 是 只 读 的 ， 并 且 以 后 永远 不 会 变 
化 。 当 创建 一 个 新 容器 时 ，Docker 会 构建 出 一 个 镜像 栈 ， 并 在 栈 的 最 
顶端 添加 一 个 读 写 层 。 这 个 读 写 层 再 加 上 其 下 面 的 镜像 层 以 及 一 些 配 
置 数据 ， 就 构成 了 一 个 容器 。 在 上 一 章 我 们 已 经 知道 ， 容 器 是 可 以 修 
改 的 ， 它 们 都 有 上 自己 的 状态 ， 并 且 是 可 以 启动 和 停止 的 。 容 器 的 这 种 
特点 加 上 镜像 分 层 框架 (image-layering framework) ， 使 我 们 可 以 快 
速 构 建 和 镜像 并 运行 包含 我 们 上 自己 的 应 用 程序 和 服务 的 容 絮 。 


4.2 列 出 镜像 


我 们 先 从 如 何 列 出 Docker 主 机 上 可 用 的 镜像 来 开始 Docker 镜 像 之 旅 。 
可 以 使 用 docker images 命令 来 实现 ， 如 代码 清单 4-2 所 示 。 


代码 清单 4-2” 列 出 Docker 镜 像 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


ubuntu latest c4ff7513909d 6 days ago 225.4 MB 


可 以 看 到 ， 我 们 已 经 获得 了 一 个 镜像 列表 ， 它 们 都 来 源 于 一 个 名 为 
ubuntu 的 仓库 。 那 么 ， 这 些 镜像 是 从 何 而 来 的 呢 ? 还 记得 在 第 3 章 
中 ， 我 们 执行 docker run 命令 时 ， 同 时 进行 了 镜像 下 载 吗 ? 在 那个 
例子 中 ， 使 用 的 就 是 ubuntu 镜像 。 


EFI 本 地 镜像 都 保存 在 Docker 宿 主机 的 /var/Libydocker 目录 下 。 每 个 镜像 都 保存 在 
Docker 所 采用 的 存储 驱动 目录 下 面 ， 如 aufs 或 者 devicemapper 。 也 可 以 
在 /var/1l1ib/docker/containers 目录 下 面 看 到 所 有 的 容器 。 


镜像 从 仓库 下 载 下 来 。 镜 像 保 存在 仓库 中 ， 而 仓库 存在 于 Registry 中 。 
默认 的 Registry 是 由 Docker 公 司 运营 的 公共 Registry 服 务 ， 即 Docker 
Hub， 如 图 4-2 所 示 。 

BZA Docker Registry 的 代码 是 开源 的 ， 也 可 以 运行 自己 的 私有 Registry， 本 章 的 后 面 会 讲 到 


内 容 。 同 时 ，Docker 公 司 也 提供 了 一 个 商业 版 的 Docker Hub， 即 Docker Trusted 
oo 这 是 一 个 可 以 运行 在 公司 防火 墙 内 部 的 产品 ， 之 前 被 称 为 Docker Enterprise Hub ° 


6 https://registry.hub.docker.com 
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图 4-2 Docker Hub 


在 Docker Hub (或 者 用 户 自 己 运营 的 Registry) 中 ， 镜 像 是 保存 在 仓库 
中 的 。 可 以 将 镜像 仓库 想象 为 类 似 Git 仓 库 的 东西 。 它 包括 镜像 、 层 以 


及 关于 镜像 的 元 数据 (metadata) 


每 个 镜像 仓库 都 可 以 存放 很 多 镜像 (LEM, ubuntu 仓库 包含 了 


Ubuntu 12.04、12.10、13.04、13.10 和 14.04 的 镜像 ) 


。 让 我 们 看 一 下 


ubuntu 仓库 的 男 一 个 镜像 ， 如 代码 清单 4-3 所 示 。 


代码 清单 4-3” 拉 取 Ubuntu 镜 像 


$ sudo docker pull ubuntu:12.04 
Pulling repository ubuntu 

463ff6be4238: Download complete 
511136ea3c5a: Download complete 
3af9d794ad07: Download complete 


这 里 使 用 了 docker pull 命令 来 拉 取 ubuntu 仓库 中 的 Ubuntu 12.04 
镜像 。 


再 来 看 看 docker images 命令 现在 会 显示 什么 结果 ， 如 代码 清单 4-4 
所 未 


代码 清单 4-4 ” 列 出 所 有 ubuntu Docker 镜像 


$ sudo docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu latest 5506de2b643b 3 weeks ago 199.3 MB 


ubuntu 12.04 Ob310e6bf058 5 months ago 127.9 MB 
ubuntu precise 0b310e6bf058 5 months ago 127.9 MB 


可 以 看 到 ， 我 们 已 经 得 到 了 Ubuntu 的 latest 镜像 和 12 .04 镜像 。 这 
表明 ubuntu 镜像 实际 上 是 聚集 在 一 个 仓库 下 的 一 系列 镜像 。 


蝇 司 我 们 虽然 称 其 为 Ubuntu 操作 系统 ， 但 实际 上 它 并 不 是 一 个 完整 的 操作 系统 。 它 只 是 一 
个 裁剪 版 ， 只 包含 最 低 限 度 的 文 持 系统 运行 的 组 件 。 


为 了 区 分 同一 个 仓库 中 的 不 同 镜像 ，Docker 提 供 了 一 种 称 为 标签 
(tag) 的 功能 。 每 个 镜像 在 列 出 来 时 都 带 有 一 个 标签 ， 如 12 .04、 
12.10、quantal 或 者 precise 等 。 每 个 标签 对 组 成 特定 镜像 的 一 
些 镜像 层 进行 标记 〈 比 如 ， 标 签 12 . 04 就 是 对 所 有 Ubuntu 12.0448 (8 

的 层 的 标记 ) 。 这 种 机 制 使 得 在 同一 个 仓库 中 可 以 存储 多 个 镜像 。 


我 们 可 以 通过 在 仓库 名 后 面 加 上 一 个 冒号 和 标签 名 来 指定 该 仓库 中 的 
某 一 镜像 ， 如 代码 清单 4-5 所 示 。 


代码 清单 45 运行 一 个 带 标签 的 Docker 镜 像 


$ sudo docker run -t -i --name new_container ubuntu:12.04 
/bin/bash 


root@79e36bfFf89b4: /# 


这 个 例子 会 从 镜像 ubuntu:12 .04 启动 一 个 容器 ， 而 这 个 镜像 的 操作 
系统 则 是 Ubuntu 12.04 ° 


我 们 还 能 看 到 ， 在 我 们 的 docker images 输出 中 新 的 12.04 镜像 以 
相同 的 镜像 ID 出 现 了 两 次 ， 这 是 因为 一 个 镜像 可 以 有 多 个 标签 。 这 使 

我 们 可 以 方便 地 对 镜像 进行 打 标 签 并 且 很 容易 查找 镜像 。 在 这 个 例子 

H, ID 9b310e6bf058 的 镜像 实际 上 被 打上 了 12 .04 和 precise 两 
个 标签 ， 分 别 代表 该 Ubuntu 发 布 版 的 版 本 号 和 代号 。 


在 构建 容 右 时 指定 仓库 的 标签 也 十 一 个 很 好 的 习惯 。 这 样 便 可 以 准确 
地 指定 容器 来 源 于 哪里 。 不 同 标 签 的 镜像 会 有 不 同 ， 比 如 Ubutnu 12.04 
和 14.04 束 不 一 样 ， 指 定 镜像 的 标签 会 让 我 们 确切 知道 目 己 使 用 的 是 
ubuntu:12.04 ， 这 样 我 们 束 能 准确 知道 目 己 在 干什么 。 


Docker Hub 中 有 两 种 类 型 的 仓库 : 用 户 仓库 (user repository) 和 顶层 
仓库 (top-level repository) 。 用 户 仓库 的 镜像 都 是 由 Docker 用 户 创建 
的 ， 而 顶层 仓库 则 是 由 Docker 内 部 的 人 来 管理 的 。 


用 户 仓库 的 命名 由 用 户 名 和 仓库 名 两 部 分 组 成 ， 如 
jamturO1/puppet ° 


。 用户 名 : jamtur01 。 
。 仓库 名 : puppet ° 


与 之 相对 ， 顶 层 仓库 只 包含 仓库 名 部 分 ， 如 ubuntu CH: MECE 
由 Docker 公 司 和 由 选 定 的 能 提供 优质 基础 镜像 的 厂商 〈 如 Fedora 团 队 
提供 了 fedora 镜像 ) 管理 ， 用 户 可 以 基于 这 些 基 础 镜像 构建 自己 的 
镜像 。 同 时 顶层 仓库 也 代表 了 各 厂商 和 Docker 公 司 的 一 种 承诺 ， 即 顶 
层 仓 库 中 的 镜像 是 架构 良好 、 安 全 且 最 新 的 。 


在 Docker 1.8 中 ， 还 增加 了 对 镜像 内 容 安全 性 进行 管理 的 功能 ， 即 镜像 
签名 。 不 过 目前 这 只 是 一 个 可 选 特性 ， 可 以 从 Docker 博 客 
(https://blog.docker.com/2015/08/content-trust- docker-1-8/ ) 获得 更 多 


AUD 2 


和 户 贡献 的 镜像 都 是 由 Docker 社 区 用 户 提供 的 ， 这 些 镜像 并 没有 经 过 Docker 公 司 的 确 
正 ， 在 使 用 这 些 镜像 时 需要 自己 承担 相应 的 风险 。 


WA 


4.3 MRAR 


用 docker run 命令 从 镜像 启动 一 个 容 絮 时 ， 如 果 该 镜像 不 在 本 地 ， 
Docker 会 先 从 Docker Hub 下 载 该 镜像 。 如 果 没 有 指定 具体 的 镜像 标 
签 ， 那 么 Docker 会 自动 下 载 latest 标签 的 镜像 。 例 如 ， 如 果 本 地 宿 
al ubuntu: latest 镜像 ， 代 码 清单 4-6 所 示 代 码 将 下 载 该 
B/G 。 


代码 清单 4-6 d``ocker``run 和 默认 的 Latest 标签 


$ sudo docker run -t -i --name next_container ubuntu /bin/bash 
root@23a42cee91c3:/# 


其 实 也 可 以 通过 docker pull 命令 先发制人 地 将 该 镜像 拉 取 到 本 
地 。 使 用 docker pull 命令 可 以 节省 从 一 个 新 镜像 启动 一 个 容器 所 
需 的 时 间 。 下 面 就 来 看 看 如 何 拉 取 一 个 fedora:20 基础 镜像 ， 如 代 
码 清 单 4-7 所 示 。 


代码 清单 4-7 拉 取 fedora 镜像 


$ sudo docker pull fedora:20 
fedora:latest: The image you are pulling has been verified 
782cf93a8f16: Pull complete 
7d3fo7f8de5f: Pull complete 


511136ea3c5a: Already exists 
Status: Downloaded newer image for fedora: 20 


可 以 使 用 docker images 命令 看 到 这 个 新 镜像 已 经 下 载 到 本 地 
Docker 宿 主机 上 了 “。 不 过 这 次 我 们 希望 能 在 镜像 列表 中 只 看 到 
fedora 镜像 的 内 容 。 这 可 以 通过 在 docker images 命令 后 面 指定 
镜像 名 来 实现 ， 如 代码 清单 4-8 所 示 。 


代码 清单 4-8 查看 fedora 镜像 


$ sudo docker images fedora 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


fedora 20 7d3f07f8de5f 6 weeks ago 374.1 MB 


可 以 看 到 ，fedora:20 镜像 已 经 被 下 载 ， 也 可 以 使 用 docker pull 
命令 下 载 男 一 个 带 标签 的 镜像 ， 如 代码 清单 4-9 所 示 。 


代码 清单 4-9 拉 取 带 标 签 的 fedora 镜像 
$ sudo docker pull fedora:21 
该 命令 只 会 拉 取 fedora:21 镜像 。 


44 查找 镜像 


我 们 也 可 以 通过 docker search 命令 来 查找 所 有 Docker Hub 上 公共 
的 可 用 镜像 ， 如 代码 清单 4-10 所 示 。 


代码 清单 4-10 ”查找 镜像 


$ sudo docker search puppet 
NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
wfarr/puppet-module... 


jamtur01/puppetmaster 


EZZ t T Docker Hub 网 站 上 在 线 查 找 可 用 镜像 。 


上 面 的 命令 在 Docker Hub LÆR SATA A puppet 的 镜像 。 这 条 命 
令 会 完成 镜像 查找 工作 ， 并 返回 如 下 信息 : 


。 仓库 名 ; 

。 镜像 摘 壕 ; 

。 用 户 评 价 (Stars) 一 反应 出 一 个 镜像 的 受 欢 迎 程度 ; 

。 ERED (Official) 一 由 上 游 开 发 者 管理 的 镜像 (如 fedora tă 
像 由 Fedora 团 队 管 理 ) ; 

。 自动 构建 (Automated) 一 表示 这 个 镜像 是 由 Docker Hub 的 自动 构 
% (Automated Build) 流程 创建 的 。 


配对 我 们 将 在 本 章 后 面 对 自动 构建 进行 更 详细 的 介绍 。 
让 我 们 从 上 面 的 结果 中 拉 取 一 个 镜像 ， 如 代码 清单 4-11 所 示 。 


代码 清单 4-11 拉 取 jamtur01/puppetmaster 镜像 


$ sudo docker pull jamtur01/puppetmaster 


ay 


这 条 命令 将 会 下 载 jamturg91/puppetmaster 镜像 到 本 地 (这 个 镜 
像 里 预 装 了 Puppet 主 服务 器 ) ° 


接着 就 可 以 用 这 个 镜像 构建 一 个 容器 了 。 下 面 就 用 docker run 命令 
来 构建 一 个 容器 ， 入 代码 清单 4-12 所 示 。 


代码 清单 4-12 Puppet master 镜 像 创建 一 个 容器 


$ sudo docker run -i -t jamtur@1/puppetmaster /bin/bash 
root@4655dee672d3:/# facter 

architecture => amd64 

augeasversion => 1.2.0 


root@4655dee672d3:/# puppet --version 
3.4.3 


可 以 看 到 ， 我 们 已 经 从 jamtur01/puppetmaster 镜像 启动 了 一 个 
新 容器 。 我 们 以 交互 的 方式 启动 了 该 容器 ， 并 且 在 里 面 运行 了 Bash 
shell。 在 进入 容器 shell 之 后 ， 我 们 运行 了 Facter (Puppet 的 主机 探测 应 
用 ) ， 它 也 是 预 安装 在 镜像 之 内 的 。 最 后 ， 在 容器 里 ， 我 们 运行 了 
puppet 程序 以 验证 Puppet 是 否 安装 正常 。 


45 构建 镜像 


前 面 我 们 已 经 看 到 了 如 何 拉 取 已 经 构建 好 的 融 有 定制 内 容 的 Docker 镜 
像 ， 那 么 我 们 如 何 修 改 目 己 的 镜像 ， 并 且 更 新 和 管理 这 些 镜 像 呢 ? 构 
建 Docker 镜 像 有 以 下 两 种 方法 。 


。 使 用 docker commit 命令。 
。 使 用 docker build 命令 和 Dockerfile 文件 。 


现在 我 们 并 不 推荐 使 用 docker commit 命令 ， 而 应 该 使 用 更 灵活 、 
更 强大 的 Dockerfile 来 构建 Docker 镜 像 。 不 过 ， 为 了 对 Docker 有 一 


个 更 全 面 的 了 解 ， 我 们 还 是 会 先 介 绍 一 下 如 何 使 用 docker commit 
构建 Docker 镜 像 。 之 后 ， 我 们 将 重点 介绍 Docker 所 推荐 的 镜像 构建 方 
法 : 编写 Dockerfile 之 后 使 用 docker build 命令 。 


EFJ 一 般 来 说 ， 我 们 不 是 真正 < 创建 "新 镜像 ， 而 是 基于 一 个 已 有 的 基础 镜像 ， 如 ubuntu 
或 fedora 等 ， 构 建新 镜像 而 已 。 如 果真 的 想 从 零 构建 一 个 全 新 的 镜像 ， 也 可 以 参考 


https://docs.docker.com/articles/baseimages/ ° 


4.5.1 创建 Docker Hub 账 号 


构建 镜像 中 很 重要 的 一 环 台 是 如 何 共 吾 和 发 布 镜像 。 可 以 将 镜像 推送 
到 Docker Hub 或 者 用 户 自 己 的 私有 Registry 中 。 为 了 完成 这 项 工作 ， 需 
要 在 Docker Hub 上 创建 一 个 账号 ， 可 以 从 
https://hub.docker.com/account/signup/ 加 入 Docker Hub， 如 图 4-3 所 示 。 


> OOcker WhatisDocker? UseCases Tylt Explore Instali & Docs | Log In CID 


Create your Docker account 


Already have an account? Login instead. 


Usemame: 
日 


Required. 4 to 30 lower case characters. Letters and digits only. 


Password: 
Password confirmation: 
Enter the same password as above, for verification. 


Email: 


Mailing List: 


Æ Subscribe to the Docker Weekly mailing list. 


ED - Sin up win ce 


图 4-3 ”创建 Docker Hub 账 号 


Ce ee 并 在 注册 之 后 通过 收 到 的 确认 邮件 进行 激 
y o 


下 面 瓯 可 以 测试 刚才 注册 的 账号 是 否 能 正常 工作 了 。 要 登录 到 Docker 
Hub， 可 以 使 用 docker login 命令 ， 如 代码 清单 4-13 所 示 。 


代码 清单 4-13 ”登录 到 Docker Hub 


$ sudo docker login 
Username: jamtur01 
Password: 


Email: james@lovedthanlost.net 
Login Succeeded 


这 条 命令 将 会 完成 登录 到 Docker Hub 的 工作 ， 并 将 认证 信息 保存 起 来 
以 供 后 面 使 用 。 可 以 使 用 docker logout 命令 从 一 个 Registry 服 务 器 
退出 。 
上 用户 的 个 人 认证 信息 将 会 保存 到 $HOME/ . dockercfg 文件 中 。 从 Docker 1.7.0 开 始 ， 
这 已 经 变 成 $HOME/ .docker/config.json ° 


4.5.2 ”用 Docker 的 commit 命令 创建 镜像 


创建 Docker 镜 像 的 第 一 种 方法 是 使 用 docker commit 命令 。 可 以 将 
此 想象 为 我 们 是 在 往 版 本 控制 系统 里 提交 变更 。 我 们 先 创 建 一 个 容 
a 就 像 修 改 代码 一 样 ， 最 后 再 将 修改 提交 为 
— “TBST EIR ° 


先 从 创建 一 个 新 容器 开始 ， 这 个 容器 基于 我 们 前 面 已 经 见 过 的 
ubuntu 镜像 ， 如 代码 清单 4-14 所 示 。 


代码 清单 4-14 ”创建 一 个 要 进行 修改 的 定 第 


= 
SS 
A 

oO 

oO 


$ sudo docker run -i -t ubuntu /bin/bash 
root@4aab3ce3cbh76:/# 


接 下 来 ， 在 容器 中 安装 Apache， 如 代码 清单 4-15 所 示 。 


代码 清单 4-15 ”安装 Apache 软 件 包 


root@4aab3ce3cb76:/# apt-get -yqq update 


root@4aab3ce3cb76:/# apt-get -y install apache2 


我 们 启动 了 一 个 容器 ， 并 在 里 面 安装 了 Apache。 我 们 会 将 这 个 容器 作 
为 一 个 Web 服 务 器 来 运行 ， 所 以 我 们 想 把 它 的 当前 状态 保存 下 来 。 这 
样 就 不 必 每 次 都 创建 一 个 新 容 絮 并 再 次 在 里 面 安装 Apache T ° WN TE 
成 此 项 工作 ， 需 要 先 使 用 exit 命 令 从 容器 里 退出 ， 之 后 再 运行 docker 
commit 命令 ， 如 代码 清单 4-16 所 示 。 


代码 清单 416 提交 定制 容器 


$ sudo docker commit 4aab3ce3cb76 jamtur01/apache2 
8ce0ea7ai528 


可 以 看 到 ， 在 代码 清单 4-16 所 示 的 docker commit 命令 中 ， 指 定 了 
要 提交 的 修改 过 的 容器 的 ID (可 以 通过 docker ps -1 -q 命令 得 到 
刚 创 建 的 容器 的 ID) ， 以 及 一 个 目标 镜像 仓库 和 镜像 名 ， 这 里 是 
jamtur01/apache2 。 需 要 注意 的 是 ，docker commit 提交 的 只 
是 创建 容器 的 镜像 与 容器 的 当前 状态 之 间 有 差异 的 部 分 ， 这 使 得 该 更 
新 非常 轻 量 。 


来 看 看 新 创建 的 镜像 ， 如 代码 清单 4-17 所 示 。 
代码 清单 417 ”检查 新 创建 的 镜像 


$ sudo docker images jamtur@1/apache2 


jamtur@1/apache2 latest 8ce0ea7a1528 13 seconds ago 90.63 MB 


也 可 以 在 提交 镜像 时 指定 更 多 的 数据 〈 包 括 标签 ) 来 详细 描述 所 做 的 
修改 。 看 一 下 代码 清单 4-18 所 示 的 例子 。 


代码 清单 4-18 ”提交 另 一 个 新 的 定制 容器 


$ sudo docker commit -m"A new custom image" -a"James Turnbull" \ 
4aab3ce3cb76 jamtur01i/apache2:webserver 


f99ebb6fed1f559258840505a0f5d5b6173177623946815366f3e3acf fFO1ladef 


在 这 条 命令 里 ， 我 们 指定 了 更 多 的 信息 选项 。 首 先 -m 选项 用 来 指定 新 
创建 的 镜像 的 提交 信息 。 同 时 还 指定 了 - -a 选项 ， 用 来 列 出 该 镜像 的 
作者 信息 。 接 着 指定 了 想 要 提交 的 容 套 的 ID。 最 后 的 
jamtur01/apache2 指定 了 镜像 的 用 户 名 和 仓库 名 ， 并 为 该 镜像 增 
加 了 一 个 webserver 标签 。 


可 以 用 docker inspect 命令 来 查看 狐 创 建 的 镜像 的 详细 信息 ， 如 
代码 清单 4-19 所 示 。 


代码 清单 4-19 查看 提交 的 镜像 的 详细 信息 


$ sudo docker inspect jamtur01i/apache2:webserver 


"Architecture": "amd64", 
"Author": "James Turnbull", 


"Comment": "A new custom image", 


}] 


E2 7I L Mhttp://docs.docker.com/reference/commandline/cli/#commit 查看 docker commit 
命令 的 所 有 选项 。 


如 果 想 从 刚 创建 的 新 镜像 运行 一 个 容器 ， 可 以 使 用 docker run 命 
令 ， 如 代码 清单 4-20 所 示 。 


代码 清单 4-20 ”从 提交 的 镜像 运行 一 个 新 容器 


$ sudo docker run -t -i jamturO01/apache2:webserver /bin/bash 


可 以 看 出 ， 我 们 用 了 完整 标签 jamtur01/apache2:webserver 来 
指定 这 个 镜像 。 


4.5.3 ”用 Dockerfile 构建 镜像 


并 不 推荐 使 用 docker commit 的 方法 来 构建 镜像 。 相 反 ， 推 荐 使 用 
被 称 为 Dockerfile 的 定义 文件 和 docker build 命令 来 构建 镜 


R ° Dockerfile 使 用 基本 的 基于 DSL (Domain Specific Language)) 
语法 的 指令 来 构建 一 个 Docker 镜 像 ， 我 们 推荐 使 用 Dockerfile 方法 
来 代替 docker commit ， 因 为 通过 前 者 来 构建 镜像 更 具备 可 重复 
性 、 透 明 性 以 及 需 等 性 。 


一 旦 有 了 Dockerfile， 我 们 束 可 以 使 用 docker build 命令 基于 
该 Dockerfile 中 的 指令 构建 一 个 新 的 镜像 。 


我 们 的 第 一 个 Dockerfile 
现在 就 让 我 们 创建 一 个 目录 并 在 里 面 创建 初始 的 Dockerfile 。 我 们 


将 创建 一 个 包含 简单 Web 服 务 器 的 Docker 镜 像 ， 如 代码 清单 4-21 所 
ZR œ 


代码 清单 4-21 创建 一 个 示例 仓库 


$ mkdir static_web 
$ cd static web 
$ touch Dockerfile 


我 们 创建 了 一 个 名 为 static_web 的 目录 用 来 保存 Dockerfile ， 这 
个 目录 就 是 我 们 的 构建 环境 (build environment) ，Docker 则 称 此 环境 
为 上 下 文 (context) 或 者 构建 上 下 文 (build context) 。Docker 会 在 构 
建 镜像 时 将 构建 上 下 文 和 该 上 下 文中 的 文件 和 目录 上 传 到 Docker 守 护 
进程 。 这 样 Docker 守 护 进 程 驶 能 直接 访问 用 户 想 在 镜像 中 存储 的 任何 
代码 、 文 件 或 者 其 他 数据 。 


作为 开始 ， 我 们 还 创建 了 一 个 空 Dockerfile ， 下 面 就 通过 一 个 例子 
来 看 看 如 何 通 过 Dockerfile 构建 一 个 能 作为 web 服务器 的 Docker 镜 
像 ， 如 代码 清单 4-22 所 示 。 


代码 清单 4-22 ”我 们 的 第 一 个 Dockerfile 


# Version: 0.0.1 
FROM ubuntu:14.04 


MAINTAINER James Turnbull "james@example.com" 

RUN apt-get update && apt-get install -y nginx 

RUN echo 'Hi, I am in your container' \ 
>/usr/share/nginx/html/index.html 


EXPOSE 80 


该 Dockerfile 由 一 系列 指令 和 参数 组 成 。 每 条 指令 ， 如 FROM ， 都 
必须 为 大 写字 母 ， 且 后 面 要 跟随 一 个 参数 : FROM ubuntu:14.04。 
Dockerfile 中 的 指令 会 按 顺 序 从 上 到 下 执行 ， 所 以 应 该 根据 需要 合 
理 安排 指令 的 顺序 。 


每 条 指令 都 会 创建 一 个 新 的 镜像 层 并 对 镜像 进行 提交 。Docker 大 体 上 
按照 如 下 流程 执行 Dockerfile 中 的 指令 。 


。 Docker 从 基础 镜像 运行 一 个 容 锅 。 

。 执行 一 条 指令 ， 对 容器 做 出 修改 。 

。 执行 类 似 docker commit 的 操作 ， 提 交 一 个 新 的 镜像 层 。 

。 Docker 再 基于 刚 提 交 的 镜像 运行 一 个 新 容器 。 

。 执 行 Dockerfile 中 的 下 一 条 指令 ， 直 到 所 有 指令 都 执行 完毕 。 


从 上 面 也 可 以 看 出 ， 如 果 用 户 的 Dockerfile 由 于 某 些 原因 (如 某 条 
BOAT) 没有 正常 结束 ， 那 么 用 户 将 得 到 了 一 个 可 以 使 用 的 镜 
像 。 这 对 调试 非常 有 帮助 : 可 以 基于 该 镜像 运行 一 个 具备 交互 功能 的 
容器 ， 使 用 最 后 创建 的 镜像 对 为 什么 用 户 的 指令 会 失败 进行 调试 。 


本 到 Dockerfile 也 支持 注释 。 以 # 开 头 的 行 都 会 被 认为 是 注释 ， 代 码 清单 4-22 所 示 的 
Dockerfile 中 第 一 行 就 是 注释 的 例子 。 


每 个 Dockerfile 的 第 一 条 指令 必须 是 FROM ° FROM 指令 指定 一 个 
已 经 存在 的 镜像 ， 后 续 指 令 都 将 基于 该 镜像 进行 ， 这 个 镜像 被 称 为 基 
础 镜像 (base iamge) 


在 前 面 的 Dockerfile 示例 里 ， 我 们 指定 了 ubuntu:14.04 作为 新 
镜像 的 基础 镜像 。 基 于 这 个 Dockerfile 构建 的 新 镜像 将 以 Ubuntu 
14.04 操 作 系 统 为 基础 。 在 运行 一 个 容 絮 时， 必须 要 指明 是 基于 哪个 基 
础 镜像 在 进行 构建 。 


接着 指定 了 MAINTAINER 指令 ， 这 条 指令 会 告诉 Docker 该 镜像 的 作者 
a 以 及 作者 的 电子 邮件 地 址 。 这 有 助 于 标识 镜像 的 所 有 者 和 联系 
=f 


在 这 些 指令 之 后 ， 我 们 指定 了 两 条 RUN 指令 。RUN 指令 会 在 当前 镜像 
中 运行 指定 的 命令 。 在 这 个 例子 里 ， 我 们 通过 RUN 指令 更 新 了 已 经 安 
HAPT, Be nginx 包 ， 之 后 创建 

了 /usr/share/nginx/html/index.html 文件 ， 该 文件 有 一 些 简 
单 的 示例 文本 。 像 前 面 说 的 那样 ， 每 条 RUN 指令 都 会 创建 一 个 新 的 镜 
像 层 ， 如 果 该 指令 执行 成 功 ， 束 会 将 此 镜像 层 提 交 ， 之 后 继续 执行 
Dockerfile 中 的 下 一 条 指令 。 


默认 情况 下 ，RUN 指令 会 在 shell 里 使 用 命令 包装 器 /bin/sh -c 来 执 
行 。 如 果 是 在 一 个 不 文 持 shell 的 平台 上 运行 或 者 不 希望 在 shell 中 运行 
(比如 避免 shell 字 符 串 自 改 ) ， 也 可 以 使 用 exec 格式 的 RUN 指令 ， 

如 代码 清单 4-23 所 示 。 


代码 清单 4-23 exec 格式 的 RUN 指令 


RUN [ "apt-get", " install", "-y", "nginx" ] 


在 这 种 方式 中 ， 我 们 使 用 一 个 数组 来 指定 要 运行 的 命令 和 传递 给 该 全 
令 的 每 个 参数 。 


接着 设置 了 EXPOSE 指令 ， 这 条 指令 告诉 Docker 该 容器 内 的 应 用 程序 

将 会 使 用 容器 的 指定 端口 。 这 并 不 意味 着 可 以 自动 访问 任意 容器 运行 
中 服务 的 端口 (这 里 是 80 ) 。 出 于 安全 的 原因 ，Docker 并 不 会 自动 打 
开 该 端口 ， 而 是 需要 用 户 在 使 用 docker run 运行 容器 时 来 指定 需要 
打开 哪些 端口 。 一 会 儿 我 们 将 会 看 到 如 何 从 这 一 镜像 创建 一 个 新 容 

器 。 


可 以 指定 多 个 EXPOSE 指令 来 癌 外 部 公开 多 个 端口 。 
EE Docker 也 使 用 EXPOSE 指令 来 帮助 将 多 个 容器 链接 ， 我 们 将 在 第 5 章 学 习 到 相关 内 容 。 
户 可 以 在 运行 时 以 docker run 命令 通过 - -expose 选项 来 指定 对 外 部 公开 的 端口 。 


4.5.4 基于 Dockerfile 构建 新 镜像 


执行 docker build 命令 时 ，Dockerfile 中 的 所 有 指令 都 会 被 执 
行 并 且 提 交 ， 并 且 在 该 命令 成 功 结束 后 返回 一 个 新 镜像 。 下 面 就 来 看 
看 如 何 构建 一 个 新 镜像 ， 如 代码 清单 4-24 所 示 。 


=) 


代码 清单 4-24 运行 Dockerfile 


$ cd static_web 
$ sudo docker build -t="jamtur01/static_web" 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step 0 : FROM ubuntu:14.04 
---> ba5877dc9bec 
Step 1 : MAINTAINER James Turnbull "james@example.com" 
---> Running in b8ffa06f9274 
---> 4c66c9dcee35 
Removing intermediate container b8ffa06f9274 
Step 2 : RUN apt-get update 
---> Running in f331636c84f7 
---> 9d938b9e0090 
Removing intermediate container f331636c84f7 
Step 3 : RUN apt-get install -y nginx 
---> Running in 4b989d4730dd 
---> 93fb180fF3bc9 
Removing intermediate container 4b989d4730dd 
Step 4 : RUN echo 'Hi, I am in your container' >/usr/share/ 
nginx/html/index. html 
---> Running in b51ibacc46eb9 
---> b584f4acidef 
Removing intermediate container b5ibacc46eb9 
Step 5 : EXPOSE 80 
---> Running in 7ff423bd1f4d 
---> 22d47c8cb6e5 
Successfully built 22d47c8cb6e5 


我 们 使 用 了 docker build 命令 来 构建 渐 镜 像 。 我 们 通过 指定 -t 选 
项 为 新 镜像 设置 了 仓库 和 名 称 ， 本 例 中 仓库 为 jamtur01 ， 镜 像 名 为 
static_web。 强 烈 建议 各 位 为 自己 的 镜像 设置 合适 的 名 字 以 方便 追 
踪 和 管理 。 


也 可 以 在 构建 镜像 的 过 程 中 为 镜像 设置 一 个 标签 ， 其 使 用 方法 为 “镜像 
名 :标签 ”， 如 代码 清单 4-25 所 示 。 


代码 清单 4-25 ”在 构建 时 为 镜像 设置 标签 


$ sudo docker build -t="jamtur@1/static_web:vi" . 


嫩 缚 如 果 没 有 制定 任何 标签 ，Docker 将 会 自动 为 镜像 设置 一 个 latest 标签 。 


上 面 命 令 中 最 后 的 .告诉 Docker 到 本 地 目录 中 去 找 Dockerfile 文件 。 
也 可 以 指定 一 个 Git 仓 库 的 源 地 址 来 指定 Dockerfile 的 位 置 ， 如 代码 
清单 4-26 所 示 。 


代码 清单 4-26 ”从 Git 仓 库 构 建 Docker 镑 像 


$ sudo docker build -t="jamtur01/static_web:vi" \ 


git@github.com: jamtur01/docker-static_web 


这 里 Docker 假 设 在 这 个 Git 仓 库 的 根 目 了 永 下 存在 Dockerfile 文件 。 


EAN 自 Docker 1.5.0 开 始 ， 也 可 以 通过 -f 标志 指定 一 个 区 别 于 标准 Dockerfile 的 构建 源 的 位 
A ° Hilt, dockerbuild-t"jamtur01/static_- web" -f path/to/file ， 这 个 
文件 可 以 不 必 命 名 为 Dockerfile， 但 是 必须 要 位 于 构建 上 下 文 之 中 。 


再 回 到 docker build 过 程 。 可 以 看 到 构建 上 下 文 已 经 上 传 到 了 
Docker 守 护 进 程 ， 如 代码 清单 4-27 所 示 。 


代码 清单 4-27 将 构建 上 下 文 上 传 到 Docker 守 护 进 程 


Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 


E URL PCH Se PELL. dockerignore 命名 的 文件 的 话 ， 那 么 该 文件 
内 容 会 被 按 行 进行 分 制 ， 每 一 行 都 是 一 条 文件 过 滤 匹 配 模式 。 这 非常 像 .gitignore X 
件 ， 该 文件 用 来 设置 哪些 文件 不 会 被 当 作 构建 上 下 文 的 一 部 分 ， 因 此 可 以 防止 它们 被 上 传 到 
Docker 守 护 进程 中 去 。 该 文件 中 模式 的 匹配 规则 采用 了 Go 语言 中 的 fepath P1 e 


之 后 ， 可 以 看 到 Dockerfile 中 的 每 条 指令 会 被 顺序 执行 ， 而 且 作 为 
构建 过 程 的 最 终结 果 ， 返 回 了 新 镜像 的 ID ， 即 22d47c8cb6e5 。 构 建 
的 每 一 步 及 其 对 应 指令 都 会 独立 运行 ， 并 且 在 输出 最 终 镜 像 ID 之 前 ， 
Docker 会 提交 每 步 的 构建 结果 。 


4.5.5 “指令 失败 时 会 怎样 


前 面 介绍 了 一 个 指令 失败 时 将 会 坚 样 。 下 面 来 看 一 个 例子 : 假设 我 们 
在 第 4 步 中 将 软件 包 的 名 字 弄 错 了 ， 比 如 写成 了 ngin 。 


0 败 时 会 怎样 ， 如 代码 清单 4-28 
ZR œ 


代码 清单 4-28 ”管理 失败 的 指令 


$ cd static web 
$ sudo docker build -t="jamturO01/static_web" . 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step 1 : FROM ubuntu:14.04 
---> 8dbd9e392a96 
Step 2 : MAINTAINER James Turnbull "james@example.com" 
---> Running in d97eOcicf6ea 
---> 85130977028d 
Step 3 : RUN apt-get update 
---> Running in 85130977028d 
---> 997485f46ec4 
Step 4 : RUN apt-get install -y nginx 
---> Running in ffcal6d58fd8 
Reading package lists... 
Building dependency tree... 
Reading state information... 
E: Unable to locate package ngin 
2014/06/04 18:41:11 The command [/bin/sh -c apt-get install -y 
ngin] returned a non-zero code: 100 


这 时 候 我 需要 调试 一 下 这 次 失败 。 我 可 以 用 docker run 命令 来 基于 
这 次 构建 到 目前 为 止 已 经 成 功 的 最 后 一 步 创 建 一 个 容器 ， 在 这 个 例子 
里 ， 使 用 的 镜像 ID 是 997485f46ec4 ， 如 代码 清单 4-29 所 示 。 


代码 清单 429 ”基于 最 后 的 成 功 步 又 创建 新 容器 


$ sudo docker run -t -i 997485f46ec4 /bin/bash 
dcge12e59fe8 : /# 


这 时 在 这 个 容器 中 我 可 以 再 次 运行 apt-get install -y ngin, 
并 指定 正确 的 包 名 ， 或 者 通过 进一步 调试 来 找 出 到 底 是 哪里 出 错 了 。 
一 旦 解决 了 这 个 问题 ， 就 可 以 退出 容器 ， 使 用 正确 的 包 名 修改 
Dockerfile 文件 ， 之 后 再 尝试 进行 构建 。 


45.6 Dockerfile 和 构建 缓存 


由 于 每 一 步 的 构建 过 程 都 会 将 结 采 提交 为 镜像 ， 所 以 Docker 的 构建 镜 

像 过 程 葡 显得 非常 聪明。 它 会 将 之 前 的 镜像 层 看 作 缓 存 。 比 如 ， 在 我 

们 的 调试 例子 里 ， 我 们 不 需要 在 第 1 步 到 第 3 步 之 间 进 行 任何 修改 ， 

此 Docker 会 将 之 前 构建 时 创建 的 镜像 当做 缓存 并 作为 新 的 开始 点 。 实 

际 上 ， 当 再 次 进行 构建 时 ，Docker 会 直接 从 第 4 步 开 始 。 当 之 前 的 构建 
步骤 没有 变化 时 ， 这 会 节省 大 量 的 时 间 。 如 果真 的 在 第 1 步 到 第 3 步 之 

间 做 了 什么 修改 ，Docker 则 会 从 第 一 条 发 生 了 变化 的 指令 开始 。 


然而 ， 有 些 时 候 需 要 确保 构建 过 程 不 会 使 用 缓存 。 比 如 ， 如 果 已 经 组 
存 了 前 面 的 第 3 步 ， 即 apt-get update ， 那 么 Docker 将 不 会 再 次 刷 
狐 APT 包 的 缓存 。 这 时 用 户 可 能 需要 取得 每 个 包 的 最 新 版 本 。 要 想 略 
过 缓存 功能 ， 可 以 使 用 docker build 的 - -no-cache 标志 ， 如 代 
码 清单 4-30 所 示 。 


代码 清单 430 忽略 Dockerfile 的 构建 缓存 


$ sudo docker build --no-cache -t="jamtur01/static_web" . 


4.5.7 ”基于 构建 缓存 的 Dockerfile 模板 


构建 缓存 带 来 的 一 个 好 处 就 是 ， 我 们 可 以 实现 简单 的 Dockerfile 模 
板 (比如 在 Dockerfile 文件 顶部 增加 包 仓 库 或 者 更 新 包 ， 从 而 尽 可 
能 确保 缓存 命中 ) 。 我 一 般 都 会 在 目 己 的 Dockerfile 文件 顶部 使 用 
相同 的 指令 集 模 板 ， 比 如 对 Ubuntu， 使 用 代码 清单 4-31 所 示 的 模版 。 


代码 清单 431 Ubuntu 系统 的 Dockerfile 模板 


FROM ubuntu:14.04 
MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-07-01 


RUN apt-get -qq update 


让 我 们 一 步 步 来 分 析 一 下 这 个 新 的 Dockerfile 。 首 先 ， 我 通过 
FROM 指令 为 新 镜像 设置 了 一 个 基础 镜像 ubuntu:14.04。 接 着 ,我 
又 使 用 MAINTAINER 指令 添加 了 自己 的 详细 联系 信息 。 之 后 我 又 使 用 
了 一 条 新 出 现 的 指令 ENV 来 在 镜像 中 设置 环境 变量 。 在 这 个 例子 里 ， 
我 通过 ENV 指令 来 设置 了 一 个 名 为 REFRESHED_AT 的 环境 变量 ， 这 个 


环境 变量 用 来 表明 该 镜像 模板 最 后 的 更 新 时 间 。 最 后 ， 我 使 用 了 RUN 
指令 来 运行 apt-get -qq update 命令 。 该 指令 运行 时 将 会 刷新 
er FR BR RBA) BEF BE Ec oe) BE TE LB BT El aT 


有 了 这 个 模板 ， 如 果 想 刷新 一 个 构建 ， 只 需 修改 ENV 指令 中 的 日 期 。 
这 使 Docker 在 命中 ENV 指令 时 开始 重 置 这 个 缓存 ， 并 运行 后 续 指令 而 
无 须 依赖 该 缓存 。 也 就 是 说 ，RUN apt-get update 这 条 指令 将 会 
被 再 次 执行 ， 包 缓存 也 将 会 被 刷新 为 最 新 内 容 。 可 以 扩展 此 模板 ， 比 
如 适 配 到 不 同 的 平台 或 者 添加 额外 的 需求 。 比 如 ， 可 以 像 代 码 清单 4- 
32 这 样 来 支持 一 个 fedora 镜像 。 


代码 清单 4-32 Fedora Dockerfile 模板 


FROM fedora:20 
MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-07-01 


RUN yum -q makecache 


在 Fedora 中 使 用 Yum 实 现 了 与 上 面 的 Ubuntu 例 子 中 非常 类 似 的 功能 。 
45.8 ”查看 新 镜像 


现在 来 看 一 下 新 构建 的 镜像 。 这 可 以 使 用 docker images 命令 来 完 
成 ， 如 代码 清单 4-33 所 示 。 


代码 清单 4-33” 列 出 新 的 Docker 镜 像 


$ sudo docker images jamtur01/static_web 
REPOSITORY TAG ID CREATED SIZE 
jamtur@1/static_web latest 22d47c8cb6e5 24 seconds ago 12.29 kB 


(virtual 326 MB) 


如 果 想 深入 探求 镜像 是 如 何 构建 出 来 的 ， 可 以 使 用 docker history 
命令 ， 如 代码 清单 4-34 所 示 。 


代码 清单 4-34 使 用 docker history 命令 


$ sudo docker history 22d47c8cb6e5 
IMAGE CREATED CREATED BY 


SIZE 
22d47c8cb6e5 6 minutes ago /bin/sh -c #(nop) EXPOSE map[80/tcp: 
{}] OB 
b584f4acidef 6 minutes ago /bin/sh -c echo 'Hi, I am in your 
container' 27 B 
93fb180F3bc9 6 minutes ago /bin/sh -c apt-get install -y nginx 


18.46 MB 

9d938b9e0090 6 minutes ago /bin/sh -c apt-get update 

20.02 MB 

Ac66c9dcee35 6 minutes ago /bin/sh -c #(nop) MAINTAINER James 
Turnbull " 0 B 


从 上 面 的 结果 可 以 看 到 新 构建 的 jamtur01/static_web 镜像 的 每 
一 层 ， 以 及 创建 这 些 层 的 Dockerfile 指令 。 


4.5.9 ”从 新 镜像 启动 容器 


我 们 也 可 以 基于 新 构建 的 镜像 局 动 一 个 新 容器 ， 来 检查 一 下 我 们 的 构 
建 工作 是 否 一 切 正 第 ， 如 代码 清单 4-35 所 示 。 


代码 清单 4-35 ”从 新 镜像 启动 一 个 容器 


$ sudo docker run -d -p 80 --name static web jamtur01/static_web 
\ 
nginx -g "daemon off;" 


6751b94bb5c001a650c918e9a7F9683985c3eb2b026c2Ff1776e61190669494a8 


在 这 里 ， 我 使 用 docker run 命令 ， 基 于 刚才 构建 的 镜像 的 名 字 ， 局 
动 了 一 个 名 为 static_web 的 新 容 需 。 我 们 同时 指定 了 -d 选项 ， 告 
诉 Docker 以 分 离 (detached) 的 方式 在 后 台 运行 。 这 种 方式 非常 适合 运 
行 类 似 Nginx 守 护 进程 这 样 的 需要 长 时 间 运 行 的 进程 。 我 们 也 指定 了 需 
要 在 容器 中 运行 的 命令 : nginx -g "daemon off;" 。 这 将 以 前 台 
运行 的 方式 启动 Nginx， 来 作为 我 们 的 web 服务 器 。 


我 们 这 里 也 使 用 了 一 个 新 的 - p 标志 ， 该 标志 用 来 控制 Docker 在 运行 时 
应 该 公开 哪些 网 络 端口 给 外 部 ( 答 主 机 ) 。 运 行 一 个 容器 时 ，Docker 
可 以 通过 两 种 方法 来 在 答 主 机 上 分 配 端 口 。 


。 Docker 可 以 在 牡 主机 上 随机 选择 一 个 位 于 32768 ~61000 的 一 个 
比较 大 的 端口 号 来 映射 到 容器 中 的 80 端口 上 。 

° TER acl 个 具体 的 端口 号 来 映射 到 容器 中 的 
80 mOE ° 


docker run 命令 将 在 Docker 和 宿主 机 上 随机 打开 一 个 端口 ， 这 个 端口 
会 连接 到 容器 中 的 80 端口 上 。 

使 用 docker ps 命令 来 看 一 下 容器 的 端口 分 配 情 况 ， 如 代码 清单 4-36 
所 示 。 


代码 清单 4-36 ”查看 Docker 端 口 映射 情况 


$ sudo docker ps -1 
CONTAINER ID IMAGE ... PORTS 
NAMES 


6751b94bb5cO jamturO01/static_web:latest ... 0.0.0.0:49154->80/ 
tcp static_web 


可 以 看 到 ， 容 器 中 的 80 端口 被 映射 到 了 宿主 机 的 49154 上 。 我 们 也 
可 以 通过 docker port 来 查看 容 絮 的 端口 映 冉 情 况 ， 如 代码 清单 4- 
37 所 示 。 


代码 清单 4-37 docker port 命令 


$ sudo docker port 6751b94bb5cO 80 
0.0.0.0:49154 


在 上 面 的 命令 中 我 们 指定 了 想 要 查看 映射 情况 的 容器 的 ID 和 容器 的 端 
口号 ， 这 里 是 80 。 该 命令 返回 了 得 主机 中 映射 的 端口 ， 即 49154。 


或 者 ， 我 们 也 可 以 使 用 容器 名 ， 如 代码 清单 4-38 所 示 。 


代码 清单 4-38 通过 -p 选项 映射 到 特定 端口 


$ sudo docker port static_web 80 
0.0.0.0:49154 


-p 选项 还 为 我 们 在 将 容器 端口 向 宿主 机 公开 时 提供 了 一 定 的 灵活 性 。 
比如 ， 可 以 指定 将 容器 中 的 端口 映射 到 Docker 往 主机 的 某 一 特定 端口 
上 ， 如 代码 清单 4-39 所 示 。 


代码 清单 4-39 通过 -p 选项 映射 到 特定 端口 


$ sudo docker run -d -p 80:80 --name static_web 
jamtur01i/static_web \ 


nginx -g "daemon off;" 
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显 ， 我 们 必须 非常 小 心地 使 用 这 种 直接 绑 定 的 做 法 : 如 有 果 要 运行 多 个 
容 右 ， 只 有 一 个 容 属 能 成 功 地 将 端口 绑 定 到 本 地 和 宿主 机 上 。 这 将 会 限 
制 Docker 的 灵活 性 。 


为 了 避免 这 个 问题 ， 可 以 将 容 郁 内 的 端口 绑 定 到 不 同 的 宾主 机 端口 上 
去 ， 如 代码 请 单 4-40 所 示 。 


代码 清单 4-40” 绑 定 不 同 的 端口 


$ sudo docker run -d- p 8080:80 --name static_web 
jamtur01/static_web \ 


nginx -g "daemon off;" 


这 条 命令 会 将 容器 中 的 80 端 口 绑 定 到 宿主 机 的 8080 端 口上 。 


我 们 也 可 以 将 端口 绑 定 限制 在 特定 的 网 络 接口 ( 即 IP 地 址 ， 上， 如 代 
码 清 单 4-41 所 示 。 


代码 清单 4-41 ” 绑 定 到 特定 的 网 络 接口 


$ sudo docker run -d -p 127.0.0.1:80:80 --name static_web 
jamtur01/static_web \ 


nginx -g "daemon off;" 
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到 一 个 宿主 机 的 随机 端口 上 ， 如 代码 清单 4-42 所 示 。 


代码 清单 4-42 ” 绑 定 到 特定 的 网 络 接口 的 随机 端口 


$ sudo docker run -d -p 127.0.0.1::80 --name static_web 
jamtur01/static_web \ 


nginx -g "daemon off;" 


这 里 ， 我 们 并 没有 指定 具体 要 绑 定 的 宿主 机 上 的 端口 号 ， 只 指定 了 一 
个 IP 地 址 127 .0.0.1 ， 这 时 我 们 可 以 使 用 docker inspect 或 者 
docker port 命令 来 查看 容器 内 的 80 端 口 具 体 被 绑 定 到 了 宿主 机 的 
哪个 端口 上 。 


Docker 还 提供 了 一 个 更 简单 的 方式 ， 即 - P 参数 ， 该 参数 可 以 用 来 对 外 
公开 在 Dockerfile 中 通过 EXPOSE 指令 公开 的 所 有 端口 ， 如 代码 清 
单 4-43 所 示 。 


代码 清单 4-43 ”使 用 docker``run 命令 对 外 公开 端口 


$ sudo docker run -d -P --name static web jamtur01/static_web \ 


nginx -g "daemon off;" 
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一 个 随机 端口 上 。 该 命令 会 将 用 来 构建 该 镜像 的 Dockerfile 文件 中 
EXPOSE 指令 指定 的 其 他 端口 也 一 并 公开 。 


EN 可 以 从 http://docs.docker.com/userguide/dockerlinks/#network-port-mapping-refresher 获得 
更 多 关于 端口 重 定向 的 信息 。 


有 了 这 个 端口 号 ， 束 可 以 使 用 本 地 宾主 机 的 IP 地 址 或 者 127 .0.0.1 
的 1ocalhost 连接 到 运行 中 的 容器 ， 查 看 Web 服 务 吕 内容 了 ， 入 代码 
清单 4-44 所 示 。 


代码 清单 4-44 ”使 用 curl 连接 到 容器 


$ curl localhost:49154 
Hi, I am in your container 


EZ 可 以 通过 ifconfig 或 者 ijp addr 命令 来 查看 本 地 宿主 机 的 IP 地 址 。 


这 是 就 得 到 了 一 个 非常 简单 的 基于 Docker 的 Web 服 务 器 。 


4.5.10 Dockerfile 指令 


我 们 已 经 看 过 了 一 些 Dockerfile 中 可 用 的 指令 ， 如 RUN 和 EXPOSE 
。 但是， 实际 上 还 可 以 在 Dockerfile 中 放 入 很 多 其 他 指令 ， 这 些 指 
令 包 括 CMD 、ENTRYPOINT ` ADD 、COPY `VOLUME + WORKDIR ` 
USER 、ONBUILD ` LABEL 、STOPSIGNAL ` ARG 和 ENV 等 。 可 以 
在 http://docs.docker.com/ reference /builder 查看 Dockerfile 中 可 以 使 
用 的 全 部 指令 的 清单 。 


在 后 面 的 几 章 中 我 们 还 会 学 到 更 多 关于 Dockerfile 的 知识 ， 并 了 解 
如 何 将 非常 酶 的 应 用 程序 打包 到 Docker 容 器 中 去 。 

1. CMD 

CMD 指令 用 于 指定 一 个 容器 启动 时 要 运行 的 命令 。 这 有 点 儿 类 似 于 
RUN 指令 ， 只 是 RUN 指令 是 指定 镜像 被 构建 时 要 运行 的 命令 ， 而 CMD 
是 指定 容器 被 启动 时 要 运行 的 命令 。 这 和 使 用 docker run 命令 启动 
容器 时 指定 要 运行 的 命令 非常 类 似 ， 比 如 代码 清单 4-45 所 示 。 


代码 清单 4-45 ”指定 要 运行 的 特定 命令 


$ sudo docker run -i -t jamtur01i/static web /bin/true 


可 以 认为 代码 清单 4-45 所 示 的 命令 和 在 Dockerfile 中 使 用 代码 清单 
4-46 所 示 的 CMD 指令 是 等 效 的 。 


代码 清单 4-46 ”使 用 CMD 指令 


CMD ["/bin/true" ] 


当然 也 可 以 为 要 运行 的 命令 指定 参数 ， 如 代码 清单 4-47 所 示 。 


代码 清单 447 ”给 CMD 指令 传递 参数 


CMD ["/bin/bash", "-1"] 


这 里 我 们 将 -1 标志 传递 给 了 /bin/bash 命令 。 

汪汪 需要 注意 的 是 ， 要 运行 的 命令 是 存放 在 一 个 数组 结构 中 的 。 这 将 告诉 Docker 按 指定 的 
原样 来 运行 该 命令 。 当 然 也 可 以 不 使 用 数组 而 是 指定 CMD 指令 ， 这 时 候 Docker 会 在 指定 的 命 
令 前 加 上 /bin/sh -c。 这 在 执行 该 命令 的 时 候 可 能 会 导致 意料 之 外 的 行为 ， 所 以 Docker 
推荐 一 直 使 用 以 数组 语法 来 设置 要 执行 的 命令 。 


最 后 ， 还 需 牢记 ， 使 用 docker run 命令 可 以 履 盖 CMD 指令 。 如 果 我 
们 在 Dockerfile 里 指定 了 CMD 指令 ， 而 同时 在 docker run 命令 
行 中 也 指定 了 要 运行 的 命令 ， 命 令 行 中 指定 的 命令 会 覆盖 
Dockerfile 中 的 CMD 指令 。 


EES 深刻 理解 CMD 和 ENTRYPOINT 之 间 的 相互 作用 关系 也 非常 重要 ， 我 们 将 在 后 面 对 此 进 
行 更 详细 的 说 明 。 


让 我 们 来 更 贴近 一 步 来 看 看 这 一 过 程 。 假 设 我 们 的 Dockerfile 文件 
中 有 代码 清单 4-48 所 示 的 CMD 指令 。 


代码 清单 4-48 履 盖 Dockerfile 文件 中 的 CMD 指令 


CMD [ "/bin/bash" ] 


可 以 使 用 docker build 命令 构建 一 个 新 镜像 (假设 镜像 名 为 
jamtur@1/test) ， 并 基于 此 镜像 启动 一 个 新 容器 ， 如 代码 清单 4- 
49 所 示 。 


Oo 


g 


(Ey 4-49 用 CMD 指令 启动 容 


$ sudo docker run -t -i jamturO1/test 
root@e643e6218589:/_#_ 


注意 到 有 什么 不 一 样 的 地 方 了 吗 ? 在 docker run 命令 的 末尾 我 们 并 
NIVERSITARE 。 实际 上 ，Docker 使 用 了 CMD 指令 中 指定 的 命 
Z O 


如 果 我 指定 了 要 运行 的 命令 会 怎样 呢 ? 如 代码 清单 4-50 所 示 。 


代码 清单 4-50 履 盖 本 地 命令 


$ sudo docker run -i -t jamtur@1/test /bin/ps 
PID TTY TIME CMD 
1? 00:00:00 ps 


$ 


可 以 看 到 ， 在 这 里 我 们 指定 了 想 要 运行 的 命令 /bin/ps ， 该 命令 会 列 
出 所 有 正在 运行 的 进程 。 在 这 个 例子 里 ， 容 器 并 没有 启动 shell， 而 
通过 命令 行 参 数 覆盖 了 CMD 指令 中 指定 的 命令 ， 容 器 运行 后 列 出 了 
在 运行 的 进程 的 列表 ， 之 后 停止 了 容器 。 

应 于 在 Dockerfile 中 只 能 指定 一 条 CMD 指令 。 如 果 指 定 了 多 条 CMD 指令 ， 也 只 有 最 后 


一 条 CMD 指令 会 被 使 用 。 如 果 想 在 启动 容器 时 运行 多 个 进程 或 者 多 条 命令 ， 可 以 考虑 使 用 
类 似 Supervisor 这 样 的 服务 管理 工具 。 


2. ENTRYPOINT 


ENTRYPOINT 指令 与 CMD 指令 非常 类 似 ， 也 很 容易 和 CMD 指令 弄 混 。 
这 两 个 指令 到 底 有 什么 区 别 呢 ? 为 什么 要 同时 保留 这 两 条 指令 ? 正如 
我 们 已 经 了 解 到 的 那样 ， 我 们 可 以 在 docker run 命令 行 中 覆盖 CMD 
指令 。 有 时 候 ， 我 们 希望 容器 会 按照 我 们 想象 的 那样 去 工作 ， 这 时 候 
CMD 就 不 太 合 适 了 。 而 ENTRYPOINT 指令 提供 的 命令 则 不 容易 在 启动 
容器 时 被 覆盖 。 实 际 上 ，docker run 命令 行 中 指定 的 任何 参数 都 会 
被 当做 参数 再 次 传递 给 ENTRYPOINT 指令 中 指定 的 命令 。 让 我 们 来 看 
一 个 ENTRYPOINT 指令 的 例子 ， 如 代码 清单 4-51 所 示 。 


代码 清单 4-51 指定 ENTRYPOINT 指令 


ENTRYPOINT ["/usr/sbin/nginx" ] 


类 似 于 CMD 指令 ， 我 们 也 可 以 在 该 指令 中 通过 数组 的 方式 为 命令 指定 
相应 的 参数 ， 如 代码 清单 4-52 所 示 。 


代码 清单 4-52 ”为 ENTRYPOINT 指令 指定 参数 


ENTRYPOINT ["/usr/sbin/nginx", "-g", "daemon off;"] 


GESSS 从 上 面 看 到 的 CMD 指令 可 以 看 到 ， 我 们 通过 以 数组 的 方式 指定 ENTRYPOINT 在 想 运 行 
的 命令 前 加 入 /bin/sh -c 来 避免 各 种 问题 。 


现在 重新 构建 我 们 的 镜像 ， 并 将 ENTRYPOINT 设置 为 ENTRYPOINT 
["/usr/sbin/ nginx"] ， 如 代码 清单 4-53 所 示 。 


代码 清单 4-53 ”用 新 的 ENTRYPOINT 指令 重新 构建 static_web 镜像 


$ sudo docker build -t="jamturO01/static_web" . 


然后 ， 我 们 从 jamtur01/static_web 镜像 启动 一 个 新 容器 ， 如 代 
码 清单 4-54 所 示 。 


代码 清单 4-54 使 用 docker run 命令 启动 包含 ENTRYPOINT 指令 的 容 
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$ sudo docker run -t -i jamtur01/static_web -g "daemon off;" 


从 上 面 可 以 看 到 ， 我 们 重新 构建 了 镜像 ， 并 且 启 动 了 一 个 交互 的 容 
器 。 我 们 指定 了 -g "daemon off;" 参数， 这 个 参数 会 传递 给 用 
ENTRYPOINT 指定 的 命令 ， 在 这 里 该 命令 为 /usr/sbin/nginx -g 
"daemon off;" 。 该 命令 会 以 前 台 运 行 的 方式 启动 Nginx 守 护 进 
程 ， 此 时 这 个 容 絮 就 会 作为 一 台 Web 服 务 器 来 运行 。 


我 们 也 可 以 组 合 使 用 ENTRYPOINT 和 CMD 指令 来 完成 一 些 巧妙 的 工 
作 。 比 如 ， 我 们 可 能 想 在 Dockerfile 里 指定 代码 清单 4-55 所 示 的 内 
X o 


代码 清单 4.55 “同时 使 用 ENTRYPOINT 和 CMD 指令 


ENTRYPOINT ["/usr/sbin/nginx" ] 
CMD ["-h"] 


此 时 当 我 们 启动 一 个 容器 时 ， 任 何在 命令 行 中 指定 的 参数 都 会 被 传递 
给 Nginx 守 护 进 程 。 比 如 ， 我 们 可 以 指定 -g "daemon off"; 参数 让 


Nginx 守 护 进程 以 前 台 方 式 运行 。 如 果 在 启动 容器 时 不 指定 任何 参数 ， 
则 在 CMD 指令 中 指定 的 -h 参数 会 被 传递 给 Nginx 守 护 进 程 ， 即 Nginx 服 
务 器 会 以 /usr/sbin/nginx -h 的 方式 启动 ， 该 命令 用 来 显示 
Nginx 的 帮助 信息 。 


这 使 我 们 可 以 构建 一 个 镜像 ， 该 镜像 既 可 以 运行 一 个 默认 的 命令 ， 同 
时 它 也 支持 通过 docker run 命令 行为 该 命令 指定 可 和 窗 盖 的 选项 或 者 
标志 。 


氏 结 如 果 确 实 需要 ， 用 户 也 可 以 在 运行 时 通过 docker run 的 --entrypoint 标志 覆盖 
ENTRYPOINT 指令 。 


3. WORKDIR 


WORKDIR 指令 用 来 在 从 镜像 创建 一 个 狐 容 絮 时 ， 在 容 磊 内 部 设置 一 个 
工作 目录 ，ENTRYPOINT 和 /或 CMD 指定 的 程序 会 在 这 个 目录 下 执 

行 。 

我 们 可 以 使 用 该 指令 为 Dockerfile 中 后 续 的 一 系列 指令 设置 工作 目 

录 ， 也 可 以 为 最 终 的 容器 设置 工作 目录 。 比 如 ， 我 们 可 以 如 代码 清单 

4-56 所 示 这 样 为 特定 的 指令 设置 不 同 的 工作 目录 。 


代码 清单 4-56 ”使 用 WORKDIR 指令 


WORKDIR /opt/webapp/db 
RUN bundle install 
WORKDIR /opt/webapp 


ENTRYPOINT [ "rackup" ] 


这 里 ， 我 们 将 工作 目录 切换 为 /opt/webapp/db 后 运行 了 bundle 
install 命令 ,之 后 又 将 工作 目录 设置 为 /opt/webapp ， 最 后 设置 
了 ENTRYPOINT 指令 来 启动 rackup 命令 。 

可 以 通过 -w 标志 在 运行 时 履 盖 工作 目录 ， 如 代码 清单 4-57 所 示 。 


代码 清单 4-57 禾 盖 工作 目录 


$ sudo docker run -ti -w /var/log ubuntu pwd 
/var/log 


Kin? oii ae AB LYE BRIE A/var/log ° 
4. ENV 


ENV 指令 用 来 在 镜像 构建 过 程 中 设置 环境 变量 ， 如 代码 清单 4-58 所 
ZR œ 


代码 清单 4-58 在 Dockerfile 文件 中 设置 环境 变量 


ENV RVM_PATH /home/rvm/ 


这 个 新 的 环境 变量 可 以 在 后 续 的 任何 RUN fa SPE, CRIT TE oF 
令 前 面 指定 了 环境 变量 前 缀 一 样 ， 如 代码 清单 4-59 所 示 。 


代码 清单 4-59 为 RUN 指令 设置 前 级 


RUN gem install unicorn 


该 指令 会 以 代码 清单 4-60 所 示 的 方式 执行 。 


代码 清单 4-60 ”添加 ENV 前 级 后 执行 


RVM_PATH=/home/rvm/ gem install unicorn 


可 以 在 ENV 指令 中 指定 单个 环境 变量 ， 或 者 ， 从 Docker 1.4 开 始 可 以 像 
代码 清单 4-61 所 示 那 样 指 定 多 个 变量 。 


代码 清单 4-61 使 用 ENV 设置 多 个 环境 变量 


ENV RVM_PATH=/home/rvm RVM_ARCHFLAGS="-arch i386" 


也 可 以 在 其 他 指令 中 使 用 这 些 环境 变量 ， 如 代码 清单 4-62 所 示 。 


代码 清单 4-62 在 其 他 Dockerfile 指令 中 使 用 环境 变量 


ENV TARGET_DIR /opt/app 
WORKDIR $TARGET_DIR 


在 这 里 我 们 设 定 了 一 个 新 的 环境 变量 TARGET_DIR ， 并 在 WORKDIR 
中 使 用 了 它 的 值 。 因 此 实际 上 WORKDIR 指令 的 值 会 被 设 为 /opt/app 


EB 汪 如 果 需 要 ， 可 以 通过 在 环境 变量 前 加 上 一 个 反 斜 线 来 进行 转 义 。 


这 些 环境 变量 也 会 被 持久 保存 到 从 我 们 的 镜像 创建 的 任何 容器 中 。 所 
以 ， 如 果 我 们 在 使 用 ENV RVM_PATH /home/rvm/ 指令 构建 的 容器 
中 运行 env 命令 ， 将 会 看 到 代码 清单 4-63 所 示 的 结果 。 


代码 清单 4-63 ”Docker 容 器 中 环境 变量 的 持久 化 


root@bf42aadc7f09:~# env 


RVM_PATH=/home/rvm/ 


也 可 以 使 用 docker run 命令 行 的 -e 标志 来 传递 环境 变量 。 这 些 变 
量 将 只 会 在 运行 时 有 效 ， 如 代码 清单 4-64 所 示 。 


代码 清单 4-64 “运行 时 环境 变量 


$ sudo docker run -ti -e "WEB PORT=8080" ubuntu env 
HOME=/ 
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 


HOSTNAME=792b171c5e9Ff 
TERM=xterm 
WEB_PORT=8080 


我 们 可 以 看 到 ， 在 容器 中 WEB_PORT 环境 变量 被 设 为 了 8080 。 
5. USER 


USER 指令 用 来 指定 该 镜像 会 以 什么 样 的 用 户 去 运行 ， 比 如 代码 清单 4- 
65 所 示 。 


代码 清单 4-65 “使 用 USER 指令 


USER nginx 


基于 该 镜像 启动 的 容器 会 以 nginx 用 户 的 身份 来 运行 。 我 们 可 以 指定 
用 尸 名 或 UID 以 及 组 或 GID， 甚 至 是 两 者 的 组 合 ， 比 如 代码 清单 4-66 所 
ZR e 


代码 清单 4-66 ”指定 USER 和 GROUP 的 各 种 组 合 


USER user 

USER user:group 
USER uid 

USER uid:gid 


USER user:gid 
USER uid: group 


也 可 以 在 docker run 命令 中 通过 -u 标志 来 覆盖 该 指令 指定 的 值 。 


E 量 国 如 果 不 通过 USER 指令 指定 用 户 ， 默 认 用 户 为 root 。 


6. VOLUME 


VOLUME 指令 用 来 癌 基 于 镜像 创建 的 容 人 磊 添加 卷 。 一 个 卷 是 可 以 存在 
于 一 个 或 者 多 个 容器 内 的 特定 的 目录 ， 这 个 目录 可 以 绕 过 联合 文件 系 
统 ， 并 提供 如 下 共有 至 数据 或 者 对 数据 进行 持久 化 的 功能 。 


。 卷 可 以 在 容器 间 共 享 和 重用 。 
。 一 个 容器 可 以 不 是 必须 和 其 他 容器 共享 卷 。 
。 对 卷 的 修改 是 立时 生效 的 。 


对 卷 的 修改 不 会 对 更 新 镜像 产生 影响 。 
卷 会 一 直 存 在 直到 没有 任何 容器 再 使 用 它 。 


卷 功能 让 我 们 可 以 将 数据 (如 源 代 码 ) 、 数 据 库 或 者 其 他 内 容 添加 到 
镜像 中 而 不 古 将 这 些 内 容 提 交 到 镜像 中 ， 并 且 人 允许 我 们 在 多 个 容器 间 
共 至 这 些 内 容 。 我 们 可 以 利用 此 功能 来 测试 容器 和 内 部 的 应 用 程序 代 
码 ， 管 理 日 志 ， 或 者 处 理 容 右 内 部 的 数据 库 。 我 们 将 在 第 5 草 和 第 6 半 
看 到 相关 的 例子 。 


可 以 像 代 码 清单 4-67 所 示 的 这 样 使 用 VOLUME 指令 。 


代码 清单 4-67 使 用 VOLUME 指令 


VOLUME ["/opt/project"] 


这 条 指令 将 会 为 基于 此 镜像 创建 的 任何 容器 创建 一 个 名 
为 /opt/project 的 挂 载 点 。 


Ed docker cp 是 和 VOLUME 指令 相关 并 且 也 是 很 实用 的 命令 。 该 命令 允许 从 容器 复制 
文件 和 复制 文件 到 容器 上 。 可 以 从 Docker 命 令 行 文档 


(https://docs.docker.com/engine/reference/ commandline/cp/ ) 中 获得 
也 可 以 通过 指定 数组 的 方式 指定 多 个 卷 ， 如 代码 清单 4-68 所 示 。 


代码 清单 4-68 使 用 VOLUME 指令 指定 多 个 卷 


VOLUME ["/opt/project", "/data" ] 


EED SSS See PA AES KT BAMA RABHAA o UREN BARS 


奇 ， 也 可 以 在 http://docs.docker.com/userguide/dockervolumes/ 读 到 更 多 关于 卷 的 信息 


7. ADD 


ADD 指令 用 来 将 构建 环境 下 的 文件 和 目录 复制 到 镜像 中 。 比 如 ， 在 安 
冯 一 个 应 用 程序 时 。ADD 指令 需要 源 文件 位 置 和 目的 文件 位 置 两 个 参 
数 ， 如 代码 清单 4-69 所 示 。 


代码 清单 4-69 ”使 用 ADD 指令 


ADD software.lic /opt/application/software.lic 


这 里 的 ADD 指令 将 会 将 构建 目录 下 的 software.1ic 文件 复制 到 镜像 
中 的 /opt/`”` “application/software.lic。 指 向 源 文件 的 
位 置 参数 可 以 是 一 个 URL， 或 者 构建 上 下 文 或 环境 中 文件 名 或 者 目 

录 。 不 能 对 构建 目录 或 者 上 下 文 之 外 的 文件 进行 ADD 操作 。 


在 ADD 文件 时 ，Docker 通 过 目的 地 址 参数 末尾 的 字符 来 判断 文件 源 是 
日 好 还 是 文件 。 如 果 日 标 地 址 以 /结尾 ， 那 么 Docker 束 认为 源 位 置 指向 
的 是 一 个 目录 。 如 果 目 的 地 址 以 / 结尾 ， 那 么 Docker 束 认为 源 位 置 指 

回 的 是 目 永 。 如 采 目 的 地 址 不 是 以 / 结尾 ， 那 么 Docker 殉 认为 源 位 置 

指 回 的 是 文件 。 


文件 源 也 可 以 使 用 URL 的 格式 ， 如 代码 清单 4-70 所 示 。 
代码 清单 4-70 ”在 ADD 指令 中 使 用 URL 作 为 文件 源 


ADD http://wordpress.org/latest.zip /root/wordpress.zip 


最 后 值得 一 提 的 是 ，ADD 在 处 理 本 地 归档 文件 (tar archive) 时 还 有 一 
些小 魔法 。 如 果 将 一 个 归档 文件 〈 合 法 的 归档 文件 包括 gzip、bzip2、 
xz) 指定 为 源 文 件 ，Docker 会 自动 将 归档 文件 解 开 (unpack) ， 如 代 
码 清单 4-71 所 示 。 


代码 清单 4-71 将 归档 文件 作为 ADD 指令 中 的 源 文件 


ADD latest.tar.gz /var/www/wordpress/ 


这 条 命令 会 将 归档 文件 latest.tar .gz 解 开 

到 /var/www/wordpress/ 目录 下 。Docker 解 开 归 档 文 件 的 行为 和 
使 用 带 -x 选项 的 tar 命令 一 样 : 该 指令 执行 后 的 输出 是 原 目 的 目录 已 
经 存在 的 内 容 加 上 归档 文件 中 的 内 容 。 如 果 目 的 位 置 的 目录 下 已 经 存 
在 了 和 归档 文件 同名 的 文件 或 者 目录 ， 那 么 目的 位 置 中 的 文件 或 者 目 
录 不 会 个 覆盖。 


EH 目 前 Docker 还 不 支持 以 URL 方 式 指 定 的 源 位 置 中 使 用 归档 文件 。 这 种 行为 稍 显 得 有 点 
儿 不 统一 ， 在 以 后 的 版 本 中 应 该 会 有 所 变化 。 


最 后 ， 如 果 目 的 位 置 不 存在 的 话 ，Docker 将 会 为 我 们 创建 这 个 全 路 
径 ， 包 括 路 径 中 的 任何 目录 。 新 创建 的 文件 和 目录 的 模式 为 0755， 并 
且 UID 和 GID 都 是 0 。 


EIJ ADD 指令 会 使 得 构建 缓存 变 得 无 效 ， 这 一 点 也 非常 重要 。 如 果 通过 ADD 指令 向 镜像 汪 
加 一 个 文件 或 者 目录 ， 那 么 这 将 使 pockerfile 中 的 后 续 指 令 都 不 能 继续 使 用 之 前 的 构建 
缓存 。 


8. COPY 


COPY 指令 非常 类 似 于 ADD ， 它 们 根本 的 不 同 是 COPY 只 关心 在 构建 上 
下 文中 复制 本 地 文件 ， 而 不 会 去 做 文件 提取 (extraction) 和 解压 
(decompression) 的 工作 。COPY 指令 的 使 用 如 代码 清单 4-72 所 示 。 


代码 清单 4-72 ”使 用 COPY 指令 


COPY conf.d/ /etc/apache2/ 


这 条 指令 将 会 把 本 地 conf .d 目录 中 的 文件 复制 到 /etc/apache2/ 
目录 中 。 


文件 源 路 径 必 须 是 一 个 与 当前 构建 环境 相对 的 文件 或 者 目 永 ， 本 地 文 
件 都 放 到 和 Dockerfile 同一 个 目录 下 。 不 能 复制 该 目录 之 外 的 任何 
文件 ， 因 为 构建 环境 将 会 上 传 到 Docker 守 护 进程 ， 而 复制 是 在 Docker 
守护 进程 中 进行 的 。 任 何 位 于 构建 环境 之 外 的 东西 都 是 不 可 用 的 。 
COPY 指令 的 目的 位 置 则 必须 是 容器 内 部 的 一 个 绝对 路 径 。 


任何 由 该 指令 创建 的 文件 或 者 目录 的 UID 和 GID 都 会 设置 为 0。 


如 有 果 源 路 径 古 一 个 目录 ， 那 么 这 个 目录 将 整个 被 复制 到 容 右 中 ， 包 括 
文件 系统 元 数据 ， 如 采 源 文件 为 任何 类 型 的 文件 ， 则 该 文件 会 随同 元 
数据 一 起 被 复制 。 在 这 个 例子 里 ， 源 路 径 以 / 结尾 ， 所 以 Docker 会 认 
为 它 是 目录 ， 并 将 它 复制 到 目的 目录 中 。 


如 果 目 的 位 置 不 存在 ，Docker 将 会 自动 创建 所 有 需要 的 目录 结构 ， 就 
像 mkdir -p 命令 那样 。 


9. LABEL 


LABEL 指令 用 于 为 Docker 镜 像 添 加 元 数据 。 元 数据 以 键 值 对 的 形式 展 
现 。 我 们 可 以 来 看 一 个 例子 ， 见 代码 清单 4-73。 


代码 清单 4-73 ”添加 LABEL 指令 


LABEL version="1.0" 
LABEL location="New York" type="Data Center" role="Web Server" 


[L Ef 


LABEL 指 令 以 label="value" 的 形式 出 现 。 可 以 在 每 一 条 指令 中 指 
定 一 个 元 数据 ， 或 者 指定 多 个 元 数据 ， 不 同 的 元 数据 之 间 用 空格 分 
隔 。 推 荐 将 所 有 的 元 数据 都 放 到 一 条 LABEL 指 令 中 ， 以 防止 不 同 的 元 
数据 指令 创建 过 多 镜像 层 。 可 以 通过 docker inspect 命令 来 查看 
Docker 镜 像 中 的 标签 信息 ， 如 代码 清单 4-74 所 示 。 


代码 清单 4-74 使 用 docker inspect 命令 查看 容器 标签 


$ sudo docker inspect jamtur01/apache2 


"Labels": { 
"version": "1.0", 
"location"="New York", 
"type"="Data Center", 
"role"="Web Server" 


这 里 我 们 可 以 看 到 前 面 用 LABEL 指 令 定义 的 元 数据 信息 。 
上 LABEL 指令 是 在 Docker 1.6 版 本 中 引入 的 。 


10. STOPSIGNAL 


STOPSIGNAL 指令 用 来 设置 停止 容器 时 发 送 什么 系统 调用 信和 号 给 容 
器 。 这 个 信号 必须 是 内 核 系统 调用 表 中 合法 的 数 ， 如 9， 或 者 
SIGNAME 格 式 中 的 信号 名 称 ， 如 SIGKILL 。 


EJ STOPSIGNAL 指令 是 在 Docker 1.9 版 本 中 引入 的 。 


11. ARG 


ARG 指 令 用 来 定义 可 以 在 docker build 命 令 运 行 时 传递 给 构建 运行 时 的 
变量 ， 我 们 只 需要 在 构建 时 使 用 - -build-arg 标志 即 可 。 用 户 只 能 
在 构建 时 指定 在 Dockerfile 文 件 中 定义 过 的 参数 。 


代码 清单 4-75 ”添加 ARG 指令 


ARG build 
ARG webapp_user=user 


上 面 例子 中 第 二 条 ARG 指 令 设 置 了 一 个 默认 值 ， 如 果 构 建 时 没有 为 该 
参数 指定 值 ， 就 会 使 用 这 个 默认 值 。 下 面 我 们 就 来 看 看 如 何在 
docker build 中 使 用 这 些 参 数 。 


代码 清单 4-76 ”使 用 ARG 指令 


$ docker build --build-arg build=1234 -t jamtur01/webapp . 


这 里 构建 jamtur01/webapp 镜像 时 ，build 变 量 将 会 设置 为 1234， 而 
webapp_user 变量 则 会 继承 设置 的 默认 值 user 。 


外 并 读 到 这 里 ， 也 许 你 会 认为 使 用 ARG 来 传递 证 书 或 者 秘 钥 之 类 的 信息 是 一 个 不 错 的 想 
法 。 但 是 ， 请 干 万 不 要 这 么 做 。 你 的 机 密 信 息 在 构建 过 程 中 以 及 镜像 的 构建 历史 中 会 被 暴 
Re o 


Docker 预 定义 了 一 组 ARG 变 量 ， 可 以 在 构建 时 直接 使 用 ， 而 不 必 再 到 
Dockerfile 中 自行 定义 。 


代码 清单 4-77 预定 义 ARG 变量 


HTTP_PROXY 
http_proxy 
HTTPS_PROXY 
https_proxy 
FTP_PROXY 


ftp_proxy 
NO_PROXY 
no_proxy 


要 想 使 用 这 些 预 定义 的 变量 ， 只 需要 给 docker build 命令 传递 - - 
build-arg <variable>=<value> 标志 就 可 以 了 。 


GER ARG 指令 是 在 Docker 1.9 版 本 中 引入 的 ， 可 以 在 Docker 文 档 (https://docs.docker.com/ 
engine/reference/builder/#arg ) 中 阅读 详细 说 明 。 


ANS 


12. ONBUILD 


ONBUILD 指令 能 为 镜像 添加 触发 器 (trigger) 。 当 一 个 镜像 被 用 做 其 
他 镜像 的 基础 镜像 时 《比如 用 户 的 镜像 需要 从 某 未 准备 好 的 位 置 添加 
源 代 码 ， 或 者 用 户 需要 执行 特定 于 构建 镜像 的 环境 的 构建 脚本 ) ， 该 
镜像 中 的 触发 器 将 会 被 执行 。 


触发 磺 会 在 构建 过 程 中 插入 新 指令 ， 我 们 可 以 认为 这 些 指令 是 芭 跟 在 
FROM 之 后 指定 的 。 触 发 句 可 以 是 任何 构建 指令 ， 比 如 代码 清单 4-78 所 
ZR œ 


代码 清单 4-78 添加 ONBUILD 指令 


ONBUILD ADD . /app/src 
ONBUILD RUN cd /app/src && make 


上 面 的 代码 将 会 在 创建 的 镜像 中 加 入 ONBUILD ffl @ as, ONBUILD 指 
令 可 以 在 镜像 上 运行 docker inspect 命令 来 查看 ， 如 代码 清单 4-79 
所 示 。 


代码 清单 4-79 通过 docker inspect 命令 查看 镜像 中 的 ONBUILD 指令 


$ sudo docker inspect 508efa4e4bf8 


"onBuild": [ 

"ADD . /app/src", 

"RUN cd /app/src/ && make" 
] 


比如 ， 我 们 为 Apache2 镜 像 构建 一 个 全 新 的 Dockerfile ， 该 镜像 名 
为 jamtur61/ apache2 ， 如 代码 清单 4-80 所 示 。 


代码 清单 4-80 新 的 ONBUILD 镜像 Dockerfile 


FROM ubuntu:14.04 


MAINTAINER James Turnbull "james@example.com" 
RUN apt-get update && apt-get install -y apache2 
ENV APACHE_RUN_USER www-data 

ENV APACHE_RUN_GROUP www-data 

ENV APACHE_LOG_DIR /var/log/apache2 

ONBUILD ADD . /var/www/ 


EXPOSE 80 
ENTRYPOINT ["/usr/sbin/apache2" ] 
CMD ["-D", "FOREGROUND" ] 


现在 我 们 就 来 构建 该 镜像 ， 如 代码 清单 4-81 所 示 。 


代码 清单 4-81 构建 apache2 镜像 


$ sudo docker build -t="jamtur01/apache2" . 


Step 7 : ONBUILD ADD . /var/www/ 
---> Running in 0e117f6ea4ba 


---> a79983575b86 
Successfully built a79983575b86 


在 新 构建 的 镜像 中 包含 一 条 ONBUILD 指令 ， 该 指令 会 使 用 ADD 指令 将 
构建 环境 所 在 的 日 录 下 的 内 容 全 部 添加 到 镜像 中 的 /var/www/ 目录 
下 。 我 们 可 以 轻而易举 地 将 这 个 Dockerfile 作为 一 个 通用 的 Web 应 
用 程序 的 模板 ， 可 以 基于 这 个 模板 来 构建 Web 应 用 程序 。 


我 们 可 以 通过 构建 一 个 名 为 webapp 的 镜像 来 看 看 如 何 使 用 镜像 模板 
功能 。 它 的 Dockerfile 如 代码 清单 4-82 所 示 。 


代码 清单 4-82 webapp 的 Dockerfile 


FROM jamtur@1/apache2 
MAINTAINER James Turnbull "james@example.com" 


ENV APPLICATION_NAME webapp 
ENV ENVIRONMENT development 


让 我 们 看 看 构建 这 个 镜像 时 将 会 发 生 什 么 事情 ， 如 代码 清单 4-83 所 
ZN œ 


代码 清单 4-83 构建 webapp 镜像 


$ sudo docker build -t="jamtur01/webapp" . 


Step © : FROM jamtur01/apache2 
# Executing 1 build triggers 
Step onbuild-0 : ADD . /var/www/ 


--> 1a018213a59d 
--> 1a018213a59d 
Step 1 : MAINTAINER James Turnbull "james@example.com" 


Successfully built 04829a360d86 


可 以 清楚 地 看 到 ， 在 FROM 指令 之 后 ，Docker 插 入 了 一 条 ADD 指令 ， 
这 条 ADD 指令 就 是 在 ONBUILD 触发 右 中 指定 的 。 执 行 完 该 ADD 指令 
后 ，Docker 才 会 继续 执行 构建 文件 中 的 后 续 指 令 。 这 种 机 制 使 我 每 次 


都 会 将 本 地 源 代码 添加 到 镜像 ， 就 像 上 面 我 们 做 到 的 那样 ， 也 支持 我 
为 不 同 的 应 用 程序 进行 一 些 特定 的 配置 或 者 设置 构建 信息 。 这 时 ， 可 
以 将 jamtur01/apache2 当做 一 个 镜像 模板 。 


ONBUILD 触发 器 会 按照 在 父 镜像 中 指定 的 顺序 执行 ， 并 且 只 能 被 继承 
一 次 (也 就 是 说 只 能 在 子 镜像 中 执行 ， 而 不 会 在 孙子 镜像 中 执行 ) o 
如 果 我 们 再 基于 jamtur01/webapp 构建 一 个 镜像 ， 则 新 镜像 是 
jamtur01/apache2 的 孙子 镜像 ， 因 此 在 该 镜像 的 构建 过 程 中 ， 
ONBUILD 触发 器 是 不 会 被 执行 的 。 


站 这 里 有 好 几 条 指令 是 不 能 用 在 ONBUILD 指令 中 的 ， 包 括 FROM ` MAINTAINER 和 
ONBUILD 本 身 。 之 所 以 这 么 规定 是 为 了 防止 在 Dockerfile 构建 过 程 中 产生 递归 调用 的 问 


4.6 ”将 镜像 推送 到 Docker Hub 


镜像 构建 完毕 之 后 ， 我 们 也 可 以 将 它 上 传 到 Docker Hub 上 面 去 ， 这 样 
其 他 人 束 能 使 用 这 个 镜像 了 。 比 如 ,我们 可 以 在 组 织 内 共 娃 这 个 镜 
像 ， 或 者 完全 公开 这 个 镜像 。 


EFJ Docker Hub 也 提供 了 对 私有 仓库 的 文 持 ， 这 是 一 个 需要 付费 的 功能 ， 用 户 可 以 将 镜像 
存储 到 私有 仓库 中 ， 这 样 只 有 用 户 或 者 任何 与 用 户 共享 这 个 私有 他 合 库 的 人 才能 访问 该 镜像 : 
这 样 用 户 就 可 以 将 机 密 信息 或 者 代码 放 到 私有 镜像 中 ， 不 必 担 心 被 公开 访问 了 。 


我 们 可 以 通过 docker push 命令 将 镜像 推送 到 Docker Hub ° 
现在 就 让 我 们 来 试 一 试 如 何 推送 ， 如 代码 清单 4-84 所 示 。 
代码 清单 4-84 ”尝试 推送 root 镜 像 


$ sudo docker push static_web 
2013/07/01 18:34:47 Impossible to push a "root" repository. 


Please rename your repository in <user>/<repo> (ex: jamtur01/ 
static_web) 


出 什么 问题 了 ? 我 们 尝试 将 镜像 推送 到 远程 仓库 static_web ,但 是 
Docker 认 为 这 是 一 个 root 仓 库 。root 仓 库 是 由 Docker 公 司 的 团队 管理 
的 ， 因 此 会 拒绝 我 们 的 推送 请 求 。 让 我 们 再 换 一 种 方式 试 一 下 ， 如 代 
码 清单 4-85 所 示 。 


代码 清单 4-85 ”推送 Docker 镜 像 


$ sudo docker push jamtur01/static_web 

The push refers to a repository [jamtur01/static_web] (len: 1) 
Processing checksums 

Sending image list 


Pushing repository jamtur01/static_web to registry-1.docker.io (1 
tags) 


这 次 我 们 使 用 了 一 个 名 为 jamtur01/static_web 的 用 户 仓库 ， 成 
功 地 将 镜像 推送 到 了 Docker Hub。 我 们 将 会 使 用 目 己 的 用 户 ID， 这 个 
ID 也 是 我 们 前 面 创 建 的， 并 选择 了 一 个 合法 的 镜像 名 (如 


youruser/yourimage ) ° 


我 们 可 以 在 Docker Hub 看 到 我 们 上 传 的 镜像 ， 如 图 4-4 所 示 。 


` 
: 
HE i | Browse Repos Documentation Community Help 全 jamtur01 v 


Updated 9 seconds ago 


jamtur01 / static_web Pull this repository docker pull jamtur01/static_web 
i ¢ 
0 
s Settings 
Information Tags 9 

Description 
Webhooks 
Collaborators 


Make Private 
Delete Repository 


Properties 

Created 

2014-07-26 15:00:15 

Maintained by 

armtur01 
P 

Comments 
No comments available, be the first to comment. 
Status Security Education Resources Blogs Fonens Feedback Contact 


图 4-4 用 户 在 Docker Hub 上 的 镜像 


ir Bll 2 vay IA 下 
| Ez 可 以 在 http://docs.docker.com/docker-hub/ 查看 到 关于 Docker Hub 的 文 要 和 更 多 关于 功 
能 方面 的 信息 。 


自动 构建 


除了 从 命令 行 构 建 和 推送 镜像 ，Docker Hub 还 允许 我 们 定义 自动 构建 

(Automated Builds) 。 为 了 使 用 自动 构建 ， 我 们 只 需要 将 GitHub 或 
BitBucket 中 含有 Dockerfile 文件 的 仓库 连接 到 Docker Hub 即 可 。 问 
这 个 代码 仓库 推送 代码 时 ， 将 会 触发 一 次 镜像 构建 活动 并 创建 一 个 新 
镜像 。 在 之 前 该 工作 机 制 也 被 称 为 可 信和 构建 (Trusted Build) ° 


EZA 自动 构建 同样 支持 私有 GitHub 和 BitBucket 仓 库 。 


在 Docker Hub 中 添加 目 动 构 建 任务 的 第 一 步 是 将 GitHub 或 者 BitBucket 
账号 连接 到 Docker Hub。 有 具体 操作 是 ， 打 开 Docker Hub， 登 孙 后 单 击 
个 人 信息 链接 ， 之 后 单 击 Add Repository ->Automated Build 
按钮 ， 如 图 4-5 所 示 。 


Repository 
1 wee Automated Build 


sinatra 


图 4-5 ”添加 仓库 按钮 


你 将 会 在 此 页 面 看 到 关于 链接 到 GitHub 或 者 BitBucket 账 号 的 选项 。 单 
击 GitHub logo 下 面 的 Select 按钮 开始 账号 链接 。 你 将 会 转 到 GitHub 
页 面 并 看 到 Docker Hub 的 账号 链接 授权 请 求 。 


在 GitHub 上 有 两 个 选项 : Public and Private (recommended) 
和 Limited ° wtf#Public and Private (recommended) 并 单 
击 Allow Access 完成 授权 操作 。 有 可 能 会 被 要 求 输入 GitHub 的 密码 
来 确认 访问 请 求 。 


之 后 ， 系 统 将 提示 你 选择 用 来 进行 目 动 构建 的 组 织 和 仓库 ， 如 图 4-6 所 
ZR œ 


6 https://registry.hub.docker.com/builds/github/select/ 8 > 


a Searct . Browse Repos Documentation Community Help D jamtur01 v 


GitHub: Add Automated Build 


We currently only support public repositories. If you want to have more than one Dockerfile per Github repo, you will need to create more than one 
build, each targeting a different docker repository. Same goes with building multiple branches on the same Github repo. For more information 
please read the Automated Build documentation. 


Select a Repository to build 


Flamur: 
adamhjk/iclassify Ea 
auxesis/squiggle-proposa! @ Ea 
eLobato/minivenmo @ 
eshamow/prosvc-ci @ Select 


图 4-6 ”选择 仓库 


单 击 想 用 来 进行 目 动 构建 的 仓库 后 面 的 Select 按钮 ， 之 后 开始 对 目 
动 构建 进行 配置 ， 如 图 4-7 所 示 。 


& https://registry.hub.docker.com/builds/github/jamtur01/docker-puppetmaster/ (o 
äi Searct . Browse Repos Documentation Community Help oa jamtur01 Vv 
README.md 


If you have a README.md file in your repository, we will use that as the repository full description. We will look for the README.md In the 
same directory where your Dockerfile lives. 

Warning: if you change the full description after a build, it will be rewritten the next time the Automated Build, has been built. To make 
changes, change the README.md In the git repo. For more information please read the Automated Bulld documentation. 


Repo Name 


jamtur01 $ / docker-puppetmaste) y 


New unique Repo name; 1 - 30 characters. Only lowercase letters, digits and _ - . characters are allowed 
Tags 


Type Name Dockerfile Location Docker Tag Name 


Brancl $ master / latest 


© public 
Anyone can pull, and is listed and searchable on the docker index. 
Private 
@ Only you can pull, and is not listed on the docker index. 


Active 


图 4-7 对 自动 构建 进行 配置 
指定 想 使 用 的 默认 的 分 文 名 ， 并 确认 仓库 名 。 
为 每 次 目 动 构建 过 程 创建 的 镜像 指定 一 个 标签 ， 并 指定 Dockerfile 
e 默认 的 位 置 为 代码 仓库 的 根 目录 下 ， 但 是 也 可 以 随意 设置 该 


最 后 ， 单 击 Create Repository 按钮 来 将 你 的 自动 构建 添加 到 
Docker Hub 中 ， 如 图 4-8 所 示 。 


你 会 看 到 你 的 自动 构建 已 经 被 提交 了 。 单 击 Build Status 链接 可 以 
查看 最 近 一 次 构建 的 状态 ， 包括 标 准 输 出 的 日 志 ， 里 面 记录 了 构建 过 
程 以 及 任何 的 错误 。 如 果 该 构建 状态 为 Done ， 则 表示 该 自动 构建 为 
最 新 状态 。Error 状态 则 表示 构建 过 程 出 现 错误 。 你 可 以 单 击 查看 详 
细 的 日 志 输 出 。 


i EZ 不 能 通过 docker push 命令 推送 一 个 自动 构建 ， 只 能 通过 更 新 你 的 GitHub 或 者 
| BitBucket 仓 库 来 更 新 你 的 自动 构建 。 


€ C fi B https://registry.hub.docker.com/builds/github/jamtur01/docker-puppetmaster/ Q 
By 、 Browse Repos Documentation Community Help 全 jamturot V 
What's Next 


You have successtully configured a Automated Build with Github repo jamtur01/docker-puppetmaster. 
Visit your buld status page, to track your builds 


Make sure your Automated Build builds correctly. If it doesn't, look at the error logs to see what is Causing your problem. If you have any questions 
or issues, please let us know. 


My Automated Builds 


Status Security Education Resources Blog Foums Feedback Conta 


图 4-8 ”创建 你 的 自动 构建 


4.7 ”删除 镜像 


如 果 不 再 需要 一 个 镜像 了 ， 也 可 以 将 它 删 除 。 可 以 使 用 docker rmi 
命令 来 删除 一 个 镜像 ， 如 代码 清单 4-86 所 示 。 


代码 清单 4-86 ”删除 Docker 镜 像 


$ sudo docker rmi jamtur@1/static_web 
Untagged: 06c6c1f81534 

Deleted: 06c6c1f81534 

Deleted: 9f551a68e60f 


Deleted: 997485f46ec4 
Deleted: a101d806d694 
Deleted: 85130977028d 


这 里 我 们 删除 了 jamtur01/static_web 镜像 。 在 这 里 也 可 以 看 到 
Docker 的 分 层 文 件 系 统 : 每 一 个 Deleted : 行 都 代表 一 个 镜像 层 被 删 
BR 。 


| 本 本 对 该 操作 只 会 将 本 地 的 镜像 删除 。 如 果 之 前 已 经 将 该 镜像 推送 到 Docker Hub E, MAE 
在 Docker Hub 上 将 依然 存在 。 


如 果 想 删除 一 个 Docker Hub 上 的 镜像 仓库 ， 需 要 在 登录 Docker Hub 后 
使 用 Delete repository 链接 来 删除 B] ， 如 图 4-9 所 示 。 


& https://registry.hub.docker.com/u/jamtur01/sshd/ Ox 
al v- > 


Updated an hour ago 


jamtur01 /sshd Pull this repository docker pull jamtur01/sshd 
| Ta 
0 
Settings 
Information Tags 

Description 

g Webhooks 
Collaborators 


Make Private 
Delete repository 


Properties 
Created 
2014-06-04 19:12:57 


Maintained by 
D jamtur01 


Comments 


No comments available, be the first to comment. 


图 4-9 删除 仓库 


还 可 以 在 命令 行 中 指定 一 个 镜像 名 列表 来 删除 多 个 镜像 ， 如 代码 清单 
4-87 所 示 。 


代码 清单 4-87 ”同时 删除 多 个 Docker 镜 像 


$ sudo docker rmi jamtur@1/apache2 jamtur01/puppetmaster 


或 者 ， 类 似 于 在 第 3 章 中 看 到 的 docker rm 命令 那样 ， 我 们 可 以 像 代 
码 清 单 4-88 所 示 的 这 样 来 使 用 docker rmi 命令 。 


SF 


14-88 ”删除 所 有 镜像 


m 


$ sudo docker rmi `docker images -a -q` 


4.8 ”运行 目 己 的 Docker Registry 


显然 ， 拥 有 Docker 镜 像 的 一 个 公共 的 Registry FA 常 有 用 。 但 是 ， 有 时 候 
我 们 可 能 希望 构建 和 存储 包含 不 想 被 公开 的 信息 或 数据 的 镜像 。 这 时 
候 我 们 有 以 下 两 种 选择 。 


。 利用 Docker Hub 上 的 私有 仓库 向 。 
。 在 防火 墙 后 面 运行 你 目 己 的 Registry。 


感谢 Docker 公 司 的 团队 开源 了 他 们 用 于 运行 Docker Registry 的 代码 9] 
， 这 样 我 们 就 可 以 基于 此 代码 在 内 部 运行 自己 的 Registry。 目 前 
Registry 还 不 文 持 用 户 界 面 ， 只 能 以 API 服 务 的 方式 来 运行 。 


E 焉 国 如 果 在 代理 或 者 公司 防火 墙 之 后 运行 Docker， 也 可 以 使 用 HTTPS_PROXY 、 
HTTP_PROXY 和 NO_PROXY 等 选项 来 控制 Docker 如 何 互 连 。 


4.8.1 ”从 容器 运行 Registry 


从 Docker 容 器 安 关 一 个 Registry 非 稼 和 商 单 。 只 需要 像 代码 清单 4-89 所 示 
的 这 样 运行 Docker 提 供 的 容器 即 可 。 


代码 清单 4-89 ”运行 基于 容器 的 Registry 


$ sudo docker run -p 5000:5000 registry:2 


EFS 从 Docker 1.3.1 开始 ， 需 要 在 启动 Docker 守 护 进程 的 命令 中 添加 -insecure- 
registry localhost:5000 标志 ， 并 重启 守护 进程 ， 才 能 使 用 本 地 Registry。 


效 命 令 将 会 启动 一 个 运行 Registry 应 用 2.0 脾 本 的 容 妖 ， 并 将 5000 端 口 
ieee BAHT EH o 


如 果 用 户 正 在 运行 一 个 版 本 低 于 2.0 的 Docker Registry， 那 么 可 以 使 用 Docker Registry 
ED ite (https://github.com/docker/migrator ) 升级 到 新 版 的 Registry ° 


4.8.2 ”测试 新 Registry 


那么 如 何 使 用 新 的 Registry 呢 ?让 我 们 先 来 看 看 是 否 能 将 本 地 已 经 存在 
的 镜像 jamtur01/static_web 上 传 到 我 们 的 新 Registy 上 去 。 首 
先 ， 我 们 需要 通过 docker images 命令 来 找到 这 个 镜像 的 ID， 如 代 
码 清 单 4-90 所 示 。 


代码 清单 4-90 ”查看 jamtur01/static_web Docker 镜像 


$ sudo docker images jamtur01/static_web 
REPOSITORY TAG ID CREATED SIZE 
jamtur@1/static_web latest 22d47c8cb6e5 24 seconds ago 12.29 kB 


(virtual 326 MB) 


接着 ， 我 们 找到 镜像 ID， 即 22d47c8cb6e5 ， 并 使 用 新 的 Registry 给 
该 镜像 打上 标签 。 为 了 指定 新 的 Registry 目 的 地 址 ， 需 要 在 镜像 名 前 加 
上 主机 名 和 端口 前 级 。 在 这 个 例子 里 ， 我 们 的 Registry 主 机 名 为 
docker .example.com ， 如 代码 清单 4-91 所 示 。 


代码 清单 4-91 使 用 新 Registry 为 镜像 打 标 签 


$ sudo docker tag 22d47c8cb6e5 
docker.example.com:5000/jamtur01/static_web 


为 镜像 打 完 标 签 之 后 ， 就 能 通过 docker push 命令 将 它 推 送 到 新 的 
Registry 中 去 了 ， 如 代码 清单 4-92 所 示 。 


代码 清单 4-92 ”将 镜像 推送 到 新 Registry 


$ sudo docker push docker.example.com:5000/jamtur01/static_web 
The push refers to a repository [docker.example.com:5000/jamtur01 
/static_web] (len: 1) 

Processing checksums 

Sending image list 

Pushing repository docker.example.com:5000/jamtur01/static_web (1 
tags) 

Pushing 


22d47c8cb6e556420e5d58ca5cc376efise2de93b5cc90e868albbc8318cic 
Buffering to disk 58375952/? (n/a) 
Pushing 58.38 MB/58.38 MB (100%) 


这 个 镜像 就 被 提交 到 了 本 地 的 Registry 中 ， 并 且 可 以 将 其 用 于 使 用 
docker run 命令 构建 新 容 禹 ， 如 代码 清单 4-93 所 示 。 


代码 清单 4-93 ”从 本 地 Registry 构建 新 的 容器 


$ sudo docker run -t -i docker.example.com:5000/jamtur01/ 
static_web /bin/bash 


这 是 在 防火 墙 后 面部 署 自己 的 Docker Registry 的 最 简单 的 方式 。 我 们 
并 没有 解释 如 何 配 置 或 者 管理 Registry。 如 果 想 深入 了 解 如 何 配置 认证 
和 管理 后 端 镜像 存储 方式 ， 以 及 如 何 管理 Registry 等 详细 信息 ， 可 以 在 
Docker Registry 部 署 文档 得 看 完整 的 配置 和 部 署 说 明 。 


4.9 其 他 可 选 Registry 服 务 


也 有 很 多 其 他 公司 和 服务 提供 定制 的 Docker Registry 服 务 。 


Quay 


Quay (| 服务 提供 了 私有 的 Registry 托 管 服务 ， 人 允许 用 户 上 传 公共 的 或 
者 私有 的 容器 。 目 前 它 提供 了 免费 的 无 限制 的 公共 仓库 托管 服务 ， 如 
果 想 托管 私有 仓库 ， 它 还 提供 了 一 系列 的 可 伸缩 计划 。Quay 最 近 被 
CoreOS [中 收购 了 ， 并 会 被 整合 到 他 们 的 产品 中 去 。 


410 “人 小结 


在 本 章 中 ， 我 们 已 经 看 到 了 如 何 使 用 Docker 镜 像 及 如 何 与 其 交互 ， 以 
及 天 于 如 何 修改 、 更 新 和 上 传 镜 像 到 Docker Index 的 基础 知识 。 我 们 还 
学 习 了 如 何 使 用 Dockerfile 构建 自己 的 定制 镜像 。 最 后 ， 我 们 还 研 
究 了 一 下 如 何 运行 目 己 本 地 的 Docker Registry 和 其 他 可 选 的 镜像 托管 
服务 。 这 都 是 我 们 基于 Docker 构 建 服务 的 基础 。 


在 下 一 章 中 ， 我 们 将 看 到 如 何 利 于 这 些 知 识 将 Docker 集 成 到 测试 工作 
流 和 持续 集成 中 去 。 


[1] 
[2] 
[3] 
[4] 
[5] 
[6] 
[7] 


http://en. wikipedia.org/wiki/Union_mount 
http://golang.org/pkg/path/filepath/#Match 
https://registry.hub.docker.com/u/jamtur0 1/static_web/ 
https://registry.hub.docker.com/plans/ 
https://github.com/docker/docker-registry 
https://quay.io/ 


https://coreos.com/ 


第 5 章 ”在 测试 中 使 用 Docker 


在 前 几 章 中 我 们 学 习 了 很 多 Docker 的 基础 知识 ， 了 解 了 什么 是 镜像 ， 
基本 的 局 动 流程 ， 以 及 如 何 运 作 容 器 。 了 解 了 这 些 基 础 知识 后 ， 搂 下 
来 让 我 们 试 着 在 实际 开发 和 测试 过 程 中 使 用 Docker。 上 自 先 来 看 看 
Docker 如 何 使 开发 和 测试 更 加 流程 化 ， 效 率 更 高 。 


为 了 演示 ， 我 们 将 会 看 到 下 面 3 个 使 用 场景 。 
。 使 用 Docker 测 试 一 个 静态 网 站 。 
。 使 用 Docker 创 建 并 测试 一 个 Web 应 用 。 
。 将 Docker 用 于 持续 集成 。 


EII 作者 使 用 持续 集成 环境 的 经 验 大 都 基于 Jenkins， 因 此 本 书 里 使 用 Jenkins 作 为 持续 集成 
环境 的 例子 。 读 者 可 以 把 这 几 节 所 讲 的 思想 应 用 到 任何 持续 集成 平台 中 。 


在 前 两 个 使 用 场景 中 ， 我 们 将 主要 关注 以 本 地 开发 者 为 主 的 开发 和 测 
试 ， 而 在 最 后 一 个 使 用 场景 里 ， 我 们 会 看 到 如 何在 更 广泛 的 多 人 开发 
中 将 Docker 用 于 构建 和 测试 。 


本 章 将 介绍 如 何 将 使 用 Docker 作 为 每 日 生活 和 工作 流程 的 一 部 分 ， 包 
括 如 何 连接 不 同 的 容器 等 有 用 的 概念 。 本 章 会 包含 很 多 有 用 的 信息 ， 
告诉 读者 通常 如 何 运行 和 管理 Docker。 所 以 ， 即 便 读者 并 不 关心 上 壕 
使 用 场景 ， 作 者 也 推荐 读者 能 阅读 本 章 。 


5.1 使 用 Docker 测 斌 静态 网 站 


将 Docker 作 为 本 地 Web 开 发 环境 是 Docker 的 一 个 最 简单 的 应 用 场景 。 
这 样 的 环境 可 以 完全 复制 生产 环境 ， 并 确保 用 户 开发 的 东西 在 生产 环 
境 中 也 能 运行 。 下 面 从 将 Nginx Web 服 务 絮 安装 到 容器 来 染 构 一 个 人 简 
单 的 网 站 开始 。 这 个 网 站 暂且 命名 为 Sample ° 


5.1.1 Sample 网 站 的 初始 Dockerfile 


为 了 完成 网 站 开发 ， 从 这 个 简单 的 Dockerfile 开始 。 先 来 创建 一 个 
目录 ,保存 Dockerfile ， 如 代码 清单 5-1 所 示 i 


代码 清单 5-1 为 Nginx Dockerfile 创建 一 个 目录 


$ mkdir sample 
$ cd sample 


$ touch Dockerfile 


现在 还 需要 一 些 Nginx 配 置 义 件 ， 才 能 运行 这 个 网 站 。 首 先 在 这 个 示例 

所 在 的 目录 里 创建 一 个 名 为 nginx 的 目录 ， 用 来 存放 这 些 配 置 文 件 。 

ee en 如 代码 清单 5-2 
ZR œ 


TF 


代码 清单 5-2 ”获取 Nginx 配 置 文人 


$ mkdir nginx && cd nginx 

$ wget https://raw.githubusercontent.com/jamtur01/dockerbook-code 
/master/code/5/sample/nginx/global.conf 

$ wget https://raw.githubusercontent.com/jamtur01/dockerbook-code 
/master/code/5/sample/nginx/nginx. conf 

$ cd .. 


现在 看 一 下 我 们 将 要 为 Sample 网 站 创建 的 Dockerfile ， 如 代码 请 
单 5-3 所 示 。 


代码 清单 5-3 ”网 站 测试 的 基本 Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update && apt-get -yqq install nginx 
RUN mkdir -p /var/www/html/website 


ADD nginx/global.conf /etc/nginx/conf.d/ 
ADD nginx/nginx.conf /etc/nginx/nginx. conf 
EXPOSE 80 


这 个 简单 的 Dockerfile 内 容 包 括 以 下 几 项 。 


。 安装 Nginx。 

。 在 容器 中 创建 一 个 日 录 /var/www/html/website/ 。 

。 将 来 自我 们 下 载 的 本 地 文件 的 Nginx 配 置 文件 添加 到 镜像 中 。 
。 公开 镜像 的 80 端口 。 


这 个 Nginx 配 置 文件 是 为 了 运行 Sample 网 站 而 配置 的 。 将 文件 
nginx/global.conf HADD 指令 复制 到 /etc/nginx/conf.d/ 
目录 中 。 配 置 文件 global.conf 的 内 容 如 代码 清单 5-4 所 示 。 


代码 清单 5-4 global .conf 文件 


server { 
listen 
server_name : 
root /var/www/html/website; 
index index.html index.htm; 


access_log /var/log/nginx/default_access.1log; 
error_log /var/log/nginx/default_error.1log; 


这 个 文件 将 Nginx 设 置 为 监听 86 端口 ， 并 将 网 络 服务 的 根 路 径 设 置 
为 /var/www/ html/website ， 这 个 目录 是 我 们 用 RUN 指令 创建 
的 。 


我 们 还 需要 将 Nginx 配 置 为 非 守 护 进 程 的 模式 ， 这 样 可 以 让 Nginx 在 
Docker 容 器 里 工作 。 将 文件 nginx/nginx.conf 复制 

到 /etc/nginx 目录 就 可 以 达到 这 个 目的 ,，nginx.`”“`conf 文件 
的 内 容 如 代码 清单 5-5 所 示 。 


代码 清单 5-5 nginx.conf 配置 文件 


user www-data; 
worker_processes 4; 
pid /run/nginx.pid; 


sendfile on; 
tcp_nopush on; 


tcp_nodelay on; 

keepalive_timeout 65; 
types_hash_max_size 2048; 

include /etc/nginx/mime.types; 
default_type application/octet-stream; 
access_log /var/log/nginx/access.1log; 
error_log /var/log/nginx/error.log; 
gzip on; 

gzip_disable "msie6"; 

include /etc/nginx/conf.d/*.conf; 


在 这 个 配置 文件 里 ，daemon off; 选项 阻止 Nginx 进 入 后 台 ， 强 制 其 


在 前 台 运 行 。 这 是 因为 要 想 保持 Docker 容 器 的 活跃 状态， 人 需要 其 中 运 
行 的 进程 不 能 中 断 。 默 认 情 况 下 ，Nginx 会 会 以 守护 进程 的 方式 启动 ， 这 

会 导致 容 丹 只 是 短暂 运行 ， 在 守护 进程 被 fork 局 动 后 ， 发 起 守护 进程 
的 原始 进程 就 会 退出 ， 这 时 容 絮 就 停止 运行 了 。 


这 个 文件 通过 ADD 指令 复制 到 /etc/nginx/nginx.conf 。 


读者 应 该 注意 到 了 两 个 ADD 指令 的 目标 有 细微 的 差别 。 第 一 个 指令 以 
目录 /etc/nginx/ conf.d/ 结束 ， 而 第 二 个 指令 指定 了 文 

件 /etc/nginx/nginx.conf。 将 文件 复制 到 Docker 镜 像 时 ， 这 两 
种 风格 都 是 可 以 用 的 。 


上 量 司 读者 可 以 在 本 书 的 代码 网 站 由 或 者 Docker Book 网 站 2) 里 找到 所 有 的 代码 和 示例 配置 
文件 。 读 者 需要 下 载 或 者 复制 粘贴 nginx.conf 和 global. conf 配置 文件 到 之 前 创建 的 
nginx 目录 里 ,保证 其 可 以 用 于 docker build 命令 


5.1.2 ”构建 Sample 网 站 和 Nginx 镜 像 


利用 之 前 的 Dockerfile ， 可 以 用 docker build 命令 构建 出 新 的 
镜像 ， 并 将 这 个 镜像 命 +4 yj amtur01/nginx , 如 代码 清单 5-6 所 
不 o 


代码 清单 5-6 ”构建 新 的 Nginx 镜 像 


$ sudo docker build -t jamtur01/nginx . 


KE FF ME — TTR oo FRA BPS END OR © EH 
docker history 命令 查看 构建 新 镜像 的 步 又 和 层级 ， 如 代码 清单 5- 
7 所 示 。 


代码 清单 5-7 展示 Nginx 镜 像 的 构建 历史 


$ sudo docker history jamtur01/nginx 

IMAGE CREATED CREATED BY 

SIZE 

f99cb0a6726d 7 secs ago /bin/sh -c #(nop) EXPOSE 80/tcp 

O B 

d0741c80034e 7 secs ago /bin/sh -c #(nop) ADD file: 
d6698a182fafaf3cb0 415 B 

fib8d3ab6b4f 8 secs ago /bin/sh -c #(nop) ADD file:9778 
ae1b43896011cc 286 B 

4e88da941d2b About a min /bin/sh -c mkdir -p /var/www/html/ 
website O B 

1224c6db31b7 About a min /bin/sh -c apt-get -yqq update && apt- 
get -yq 39.32 MB 

2cfbed445367 About a min /bin/sh -c #(nop) ENV REFRESHED_AT=2014- 
06-01 0 B 

6b5e0485e5fa About a min /bin/sh -c #(nop) MAINTAINER James 
Turnbull " © B 

91e54dfb1179 2 days ago /bin/sh -c #(nop) CMD ["/bin/bash"] 

O B 

d74508fb6632 2 days ago /bin/sh -c sed -i 's/^#\s*\(deb.* 
universe\)$/ 1.895 kB 

c22013c84729 2 days ago /bin/sh -c echo '#!/bin/sh' > /usr/sbin/ 
polic 194.5 kB 

d3a1f33e8a5a 2 days ago /bin/sh -c #(nop) ADD file:5 
a3f9e9ab88e725d60 188.2 MB 


history 命令 从 新 构建 的 jamturo01/nginx 镜像 的 最 后 一 层 开始 ， 
追溯 到 最 开始 的 父 镜像 ubuntu:14 ,04。 这 个 命令 也 展示 了 每 步 之 间 
创建 的 新 层 ， 以 及 创建 这 个 层 所 使 用 的 Dockerfile 里 的 指令 。 


5.1.3 ”从 Sample 网 站 和 Nginx 镜 像 构 建 容 器 

现在 可 以 使 用 jamtur01/nginx 镜像 ， 并 开始 从 这 个 镜像 构建 可 以 
用 来 测试 Sample 网 站 的 容 絮 。 为 此 ， 需 要 添加 Sample 网 站 的 代码 。 现 
在 下 载 这 上 段 代 码 到 sample 目录 ， 如 代码 清单 5-8 所 示 。 


代码 清单 5-8 下载 Sample 网 站 


$ mkdir website && cd website 
$ wget https://raw.githubusercontent.com/jamtur01/dockerbook-code 


/master/code/5/sample/website/index. html 
$ cd.. 


这 将 在 sample 目录 中 创建 一 个 名 为 website 的 目录 ， 然 后 为 Sample 
网 站 下 载 index.html 文件 ， 放 到 website 目录 中 。 


a run 命令 来 运行 一 个 容器 ， 如 代码 清单 
5-9 所 示 。 


代码 清单 5-9 ”构建 第 一 个 Nginx 测 试 容 右 


$ sudo docker run -d -p 80 --name website \ 
-v $PWD/website:/var/www/html/website \ 


jamtur@1/nginx nginx 


EZI 可 以 看 到 ， 在 执行 docker run 时 传 入 了 nginx 作为 容器 的 启动 命令 。 一 般 情况 
下 ， 这 个 命令 无 法 让 Nginx 以 交互 的 方式 运行 。 我 们 已 经 在 提供 给 Docker 的 配置 里 加 入 了 
令 daemon off ， 这 个 指令 让 Nginx 启 动 后 以 交互 的 方式 在 前 台 运 行 。 
可 以 看 到 ， 我 们 使 用 docker run 命令 从 jamtur01/nginx 镜像 创 
建 了 一 个 名 为 website 的 容器 。 读 者 已 经 见 过 了 大 部 分 选项 ， 不 过 - 
V 选项 是 新 的 。-V 这 个 选项 允许 我 们 将 宿主 机 的 目 孙 作为 卷 ， 挂 载 到 
容器 里 。 


现在 稍微 偏 题 一 下 ， 我 们 来 关注 一 下 卷 这 个 概念 。 卷 在 Docker 里 非常 

重要 ， 也 很 有 用 。 卷 是 在 一 个 或 者 多 个 容 需 内 被 选 定 的 目 永 ， 可 以 经 

过 分 层 的 联合 文件 系统 (Union File System) ， 为 Docker 提 供 持久 数据 
或 者 共 至 数据 。 这 意味 着 对 卷 的 修改 会 直接 生效 ， 并 绕 过 镜像 。 当 提 

交 或 者 创建 镜像 时 ， 卷 不 被 包 含 在 镜像 里 。 


县 史 司 卷 可 以 在 容器 间 共 享 。 即 便 容 器 停止， 卷 里 的 内 容 依旧 存在 。 在 后 面 的 章节 会 看 到 如 
何 使 用 卷 来 管理 数据 。 


回 到 刚才 的 例子 。 当 我 们 因为 某 些 原因 不 想 把 应 用 或 者 代码 构建 到 镜 
像 中 时 ， 就 体现 出 卷 的 价值 了 。 例 如 : 


。 布 望 同时 对 代码 做 开发 和 测试 ; 


TB 


。 代码 改动 很 频 娄 ， 不 想 在 开发 过 程 中 重 构 镜像 


。 布 望 在 多 个 容器 间 共 译 代 码 。 


-V 选 项 通过 指定 一 个 目录 或 者 登 上 与 容器 上 与 该 目录 分 离 的 本 地 和 宿主 
机 来 工作 ， 这 两 个 目录 用 : 分 隔 。 如 果 容 姨 日 隶 不 存在 ，Docker 会 目 
动 创建 一 个 。 


也 可 以 通过 在 目录 后 面 加 上 rw 或 者 ro 来 指定 容 右 内 目录 的 读 写 状 
仿 ， 如 代码 清单 5-10 所 示 。 


代码 清单 5-10 ”控制 卷 的 写 状 态 


$ sudo docker run -d -p 80 --name website \ 
-vV $PWD/website:/var/www/html/website:ro \ 


jamtur01/nginx nginx 


这 将 使 目的 目录 /var/www/html/website 变 成 只 读 状 态 。 


在 Nginx 网 站 容器 里 ， 我 们 通过 卷 将 $PWD/website 挂 载 到 容器 

的 /var/www/ html/website 目录 ， 顺 利 挂 载 了 7 正在 开发 的 本 地 网 
站 。 在 Nginx 配 置 里 (在 配置 文 
t4/etc/ngingx/conf.d/global.conf 中 ) ， 已 经 指定 了 这 个 目 
录 为 Nginx 服 务 絮 的 工作 目录 。 


Ed 这 里 使 用 的 website 目录 包含 在 本 书 的 源 代码 中 BI 以 及 GitHub 外 上 。 读 者 可 以 在 对 
应 的 目录 里 看 到 刚刚 下 载 的 index ,html 文件 。 


现在 ， 如 有 果 使 用 docker ps 命令 得 看 正在 运行 的 容器 ， 可 以 看 到 和 名 
为 website 的 容 右 正 处 于 活路 状态 ， 容 器 的 89 端口 被 映射 到 和 宾主 机 
的 49161 端口 ， 如 代码 清单 5-11 所 示 。 


代码 清单 5-11 查看 Sample 网 站 容器 


$ sudo docker ps -1 
CONTAINER ID IMAGE ... PORTS 
NAMES 


6751b94bb5cO jamturO01/nginx:latest ... 0.0.0.0:49161->80/tcp 
website 


如 果 在 Docker 的 宿主 机 上 浏览 49161 端口 ， 就 会 看 到 图 5-1 所 示 的 
Sample 网 站 。 


& œŒ ff D localhost:49161 


This is a test website 


图 5-1 浏览 Sample 网 站 


ERN i, 如 果 用 户 在 使 用 BootDocker 或 者 Docker Toolbox, 需要 注意 这 两 个 工具 都 会 厂 
地 创建 一 个 虚拟 机 ， 这 个 虚拟 机 具有 自己 独立 的 网 络 接口 和 了 P 地 址 。 需 要 连 EES EBUILD 
地 址 ， 而 不 是 localhost 或 者 用 户 的 本 地 主机 的 IP 地 址 。 在 第 2 章 讨 论 安 装 Docker 的 时 候 ， 
我 们 也 曾 讨论 过 更 多 细节 。 


5.1.4 修改 网 站 
我 们 已 经 得 到 了 一 个 可 以 工作 的 网 站 ! 现在 ， 如 果 要 修改 网 站 ， 该 怎 


么 办 ? 可 以 直接 打开 本 地 和 宿主 机 的 website 目录 下 的 ijndex.html 
文件 并 修改 ， 如 代码 清单 5-12 所 示 。 


N 


代码 清单 5-12 ”修改 Sample 网 站 


$ vi $PWD/website/index.htm1 


我 们 把 代码 清单 5-13 所 示 的 原来 的 标题 改 为 代码 清单 5-14 所 示 的 新 标 


题 。 


代码 清单 5-13 原来 的 标题 


This is a test website 


代码 清单 5-14 “新 标题 


This is a test website for Docker 


Wy — Aaa, BEAMEN EtA, UA5S-2ArA ° 
€° C ff localhost:49161 


This is a test website for Docker. 


图 5-2 ”浏览 修改 后 的 Sample 网 站 


可 以 看 到 ，Sample 网 站 已 经 更 新 了 。 显 然 这 个 修改 太 简 单 了 ， 不 过 可 
以 看 出 ， 更 复杂 的 修改 也 并 不 困难 。 更 重要 的 是 ， 正 在 测试 网 站 的 运 
行 环境 ， 完 全 是 生产 环境 里 的 真实 状态 。 现 在 可 以 给 每 个 用 于 生产 的 
网 站 服务 环境 (如 Apache、Nginx) 配置 一 个 容器 ， 给 不 同 开 发 框架 
的 运行 环境 (如 PHP 或 者 Ruby on Rails) 配置 一 个 容器 ， 或 者 给 后 端 
数据 库 配 置 一 个 容器 ， 等 等 。 


5.2 ”使 用 Docker 构 建 并 测试 Web 应 用 程序 


现在 来 看 一 个 更 复杂 的 例子 ， 测 试 一 个 更 大 的 Web 应 用 程序 。 我 们 将 
要 测试 一 个 基于 Sinatra 的 Web 应 用 程序 ， 而 不 是 静态 网 站 ， 然 后 我 们 
将 基于 Docker 来 对 这 个 应 用 进行 测试 。Sinatra 是 一 个 基于 Ruby 的 Web 
应 用 框架 ， 它 包含 一 个 Web 应 用 库 ， 以 及 简单 的 领域 专用 语言 ( 即 
DSL) 来 构建 Web 应 用 程序 。 与 其 他 复杂 的 Web 应 用 框架 (如 Ruby on 
Rails) 不 同 ，Sinatra 并 不 遵循 MVC 模 式 ， 而 关注 于 让 开发 者 创建 快 
速 、 人 简单 的 Web 应 用 。 

因此 ，Sinatra 非 常 适合 用 来 创建 一 个 小 型 的 示例 应 用 进行 测试 。 在 这 
个 例子 里 ， 我 们 将 创建 一 个 应 用 程序 ， 它 接收 输入 的 URL 参 数 ， 并 以 
JSON 散 列 的 结构 输出 到 客户 端 。 通 过 这 个 例子 ， 我 们 也 将 展示 一 下 如 
何 将 Docker 容 器 链接 起 来 。 


5.2.1 构建 Sinatra 应 用 程序 


我 们 先 来 创建 一 个 sinatra 目 录 ， 用 来 存放 应 用 程序 的 代码 ， 以 及 构建 
时 我 们 所 需 的 所 有 相关 文件 ， 如 代码 清单 5-15 所 示 。 


代码 清单 5-15 ”为 测试 Web 应 用 程序 创建 目录 


$ mkdir -p sinatra 
$ cd sinatra 


在 sinatra 目录 下 ， 让 我 们 从 Dockerfile 开始 ， 构 建 一 个 基础 镑 
像 ， 并 用 这 个 镜像 来 开发 Sinatra Web 应 用 程序 ， 如 代码 清单 5-16 所 
ZR ° 


代码 清单 5-16 ”测试 用 Web 应 用 程序 的 Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get update -yqq && apt-get -yqq install ruby ruby-dev 
build-essential redis-tools 


RUN gem install --no-rdoc --no-ri sinatra json redis 
RUN mkdir -p /opt/webapp 

EXPOSE 4567 

CMD [ "/opt/webapp/bin/webapp" ] 


可 以 看 到 ， 我 们 已 经 创建 了 另 一 个 基于 Ubuntu 的 镜像 ， 安 装 了 Ruby 和 
RubyGem， 并 且 使 用 gem 命令 安装 了 sinatra、json 和 redis 
gem ° Sinatra 是 Sinatra 的 库 ，json 用 来 提供 对 JSON 的 文 持 。 
redis gem 在 后 面 会 用 到 ， 用 来 和 Redis 数 据 库 进 行 集成 。 


我 们 已 经 创建 了 一 个 目录 来 存放 新 的 Web 应 用 程序 ， 并 公开 了 
WEBrickH) AU m 4567 ° 


最 后 ， 使 用 CMD $8 /opt/webapp/bin/webapp 作为 Web 应 用 程序 
的 启动 文件 。 


现在 使 用 docker build 命令 来 构建 新 的 镜像 ， 如 代码 清单 5-17 所 
ZR ° 


代码 清单 5-17 构建 新 的 Sinatra 镜 像 


$ sudo docker build -t jamtur01/sinatra . 


5.2.2 ”创建 Sinatra 容 器 


我 们 已 经 创建 了 镜像 ， 现 在 让 我 们 下 载 Sinatra Web 应 用 程序 的 源 代 

码 。 这 份 代码 可 以 在 本 书 的 官网 |S! 或 Docker Book 网 站 151 找到 。 这 个 
应 用 程序 在 webapp 目录 下 ， 由 bin 和 1jib 两 个 目录 组 成 。 

现在 将 其 下 载 到 sinatra 目录 中 ， 如 代码 清单 5-18 所 示 。 


代码 清单 5-18 下载 Sinatra Web 应 用 程序 


$ cd sinatra 
$ wget --cut-dirs=3 -nH -r --reject Dockerfile, index.html --no- 
parent http://dockerbook.com/code/5/sinatra/webapp/ 


$ ls -1 webapp 


下 面 我 们 就 来 快速 浏览 一 下 webapp 源 代码 的 核心 ， 其 源 代码 保存 在 
sinatra/`` ``webapp/lib/app.rb 文件 中 ， 如 代码 清单 5-19 所 
ZN ° 


代码 清单 5-19 Sinatra app.rbi {0H 


require "rubygems" 

require "Sinatra" 

require "json" 

class App < Sinatra: :Application 

set :bind, '0.0.0.0' 

get '/' do 

"<hi>DockerBook Test Sinatra app</h1>" 


end 
post '/json/?' do 
params.to_json 


可 以 看 到 ， 这 个 程序 很 简单 ， 所 有 访问 /json 端 点 的 POST 请 求 参 数 
都 会 被 转换 为 JSON 的 格式 后 输出 。 


这 里 还 要 使 用 chmod 命令 保证 webapp/bin/webapp 这 个 文件 可 以 
执行 ， 如 代码 清单 5-20 所 示 。 


代码 清单 5-20 ”确保 webapp/bin/webapp 可 以 执行 


$ chmod +x webapp/bin/webapp 


现在 我 们 就 可 以 基于 我 们 的 镜像 ， 通 过 docker run 命令 启动 一 个 新 
容器 。 要 启动 容器 ， 我 们 需要 在 sinatra 目录 下 ， 因 为 我 们 需要 将 这 
个 目录 下 的 源 代 码 通过 卷 挂 载 到 容器 中 去 ， 如 代码 清单 5-21 所 示 。 


代码 清单 5-21 启动 第 一 个 Sinatra 容 


I 
I 


$ sudo docker run -d -p 4567 --name webapp \ 
-v $PWD/webapp:/opt/webapp jamtur01/sinatra 


这 里 从 jamtur01/sinatra 镜像 创建 了 一 个 新 的 名 为 webapp We 
器 。 指 定 了 一 个 新 卷 ， 使 用 存放 新 Sinatra Web 应 用 程序 的 webapp 目 录 
， 并 将 这 个 卷 挂 载 到 在 Dockerfile 里 创建 的 目录 /opt/webapp ° 


我 们 没有 在 命令 行 中 指定 要 运行 的 命令 ， 而 是 使 用 在 镜像 的 
Dockerfile CMD 指令 设置 的 命令 ， 如 代码 清单 5-22 所 示 。 


代码 清单 5-22 Dockerfile 中 的 CMD 指 令 


CMD [ "/opt/webapp/bin/webapp" ] 


从 这 个 镜像 启动 容器 时 ， 将 会 执行 这 一 命令 。 


也 可 以 使 用 docker logs 命令 查看 被 执行 的 命令 都 输出 了 什么 ， 如 
代码 清单 5-23 所 示 。 


ot 


代码 清单 5-23 ”检查 Sinatra 容 器 的 日 志 


$ sudo docker logs webapp 

[2013-08-05 02:22:14] INFO WEBrick 1.3.1 

[2013-08-05 02:22:14] INFO ruby 1.8.7 (2011-06-30) [x86_64-linux] 
== Sinatra/1.4.3 has taken the stage on 4567 for development with 


backup from WEBrick 
[2013-08-05 02:22:14] INFO WEBrick::HTTPServer#start: pid=1 
port=4567 


运行 docker logs 命令 时 加 上 -f 标志 可 以 达到 与 执行 tail -f 命 
令 一 样 的 戏 末 一 持续 输出 容器 的 STDERR 和 STDOUT 里 的 内 容 ， 如 代 
码 清单 5-24 所 示 。 


代码 清单 5-24 跟踪 Sinatra 容 器 的 日 志 


$ sudo docker logs -f webapp 


可 以 使 用 docker top 命令 查看 Docker 容 器 里 正在 运行 的 进程 ， 如 代 
码 清单 5-25 所 示 。 


代码 清单 5-25 ”使 用 docker top 来 列 出 Sinatra 进 程 


$ sudo docker top webapp 
UID PID PPID C STIME TTY TIME CMD 
root 21506 15332 0 20:26 ? 00:00:00 /usr/bin/ruby /opt/ 


webapp/bin/webapp 


从 这 一 日 志 可 以 看 出 ， 容 器 中 已 经 启动 了 Sinatra， 而 且 WEBrick 服 务 
进程 正在 监听 4567 端口 ， 等 待 测试 。 先 查看 一 下 这 个 端口 映射 到 本 
地 宿主 机 的 哪个 端口 ， 如 代码 清单 5-26 所 示 。 


代码 清单 5-26 检查 Sinatra 的 端口 映射 


$ sudo docker port webapp 4567 
0.0.0.0:49160 


目前 ，Sinatra 应 用 还 很 基础 ， 没 做 什么 。 它 只 是 接收 输入 参数 ， 并 将 
输入 转化 为 JSON 输 出 。 现 在 可 以 使 用 curl 命令 来 测试 这 个 应 用 程序 
了 ， 如 代码 清单 5-27 所 示 。 


代码 清单 5-27 测试 Sinatra 应 用 程序 


$ curl -i -H ‘Accept: application/json' \ 

-d 'name=Foo&status=Bar' http://localhost:49160/json 
HTTP/1.1 200 OK 

X-Content-Type-Options: nosniff 

Content-Length: 29 


X-Frame-Options: SAMEORIGIN 

Connection: Keep-Alive 

Date: Mon, 05 Aug 2013 02:22:21 GMT 
Content-Type: text/html; charset=utf-8 

Server: WEBrick/1.3.1 (Ruby/1.8.7/2011-06-30) 
X-Xss-Protection: 1; mode=block 
{"name": "Foo", "status": "Bar"} 


可 以 看 到 ， 我 们 给 Sinatra 应 用 程序 传 入 了 一 些 URL 参 数 ， 并 看 到 这 些 
参数 转化 成 JSON 散 列 后 的 输出 : 


{"name":"Foo", "status":"Bar"} ° 


成 功 ! 然后 斌 试看， 我们 能 不 能 通过 连接 到 运行 在 男 一 个 容器 里 的 服 
务 ， 把 当前 的 示例 应 用 程序 容器 扩展 为 真正 的 应 用 程序 栈 。 


5.2.3 ”扩展 Sinatra 应 用 程序 来 使 用 Redis 


现在 我 们 将 要 扩展 Sinatra 必 用 程序 ， 加 入 Redis 后 端 数据 库 ， 并 在 Redis 
数据 库 中 存储 输入 的 URL 参 数 。 为 了 达到 这 个 目的 ， 我 们 要 下 载 一 个 
狐 版 本 的 Sinatra 应 用 程序 。 我 们 还 将 创建 一 个 运行 Redis 数 据 库 的 镜像 
和 容器 。 之 后 ， 要 利用 Docker 的 特性 来 关联 两 个 容器 。 


1. 升级 我 们 的 Sinatra 应 用 程序 


让 我 们 从 下 载 一 个 升级 版 的 Sinatra 应 用 程序 开始 ， 这 个 升级 版 中 增加 
了 连接 Redis 的 配置 。 在 sinatra 目 录 中 ， 我 们 下 载 了 我 们 这 个 应 用 的 启 
用 oe 并 保存 到 一 个 新 目录 webapp_redis 中 ， 如 代码 清单 
5-28 甩 不 。 


程序 


a 


代码 清单 5-28 下载 升级 版 的 Sinatra Web 应 


$ cd Sinatra 
$ wget --cut-dirs=3 -nH -r --reject Dockerfile, index.html --no- 
parent http://dockerbook.com/code/5/sinatra/webapp_redis/ 


$ ls -1 webapp_redis 


我 们 看 到 新 应 用 程序 已 经 下 载 ， 现 在 让 我 们 看 一 下 lib/app .rb 文件 
中 的 核心 代码 ， 如 代码 清单 5-29 所 示 。 


代码 清单 5-29 app.rb 文件 


require "rubygems" 

require "Sinatra" 

require "json" 

require "redis" 

class App < Sinatra: :Application 

redis = Redis.new(:host => 'db', :port => '6379') 
set :bind, '0.0.0.0' 

get '/' do 

"<hi>DockerBook Test Redis-enabled Sinatra app</h1>" 
end 

get '/json' do 

params = redis.get "params" 

params.to_json 

end 

post '/json/?' do 

redis.set "params", [params].to_json 
params.to_json 

end 

end 


EZI FI LL Ehttp://dockerbook.com/code/5/sinatra/webapp_redis/ 或 者 Docker Book 网 站 
(https:// github.com/jamtur01/dockerbook-code ) 上 获取 升级 版 的 启用 了 Redis 的 Sinatra 应 用 程 
序 的 完整 代码 。 


我 们 可 以 看 到 新 版 本 的 代码 和 前 面 的 代码 几乎 一 样 ， 只 是 增加 了 对 
Redis 的 支持 。 我 们 创建 了 一 个 到 Redis 的 连接 ， 用 来 连接 名 为 db 的 宿 
主机 上 的 Redis 数 据 库 ， 端 口 为 6379 。 我 们 在 POST 将 
URL 参 数 保存 到 了 Redis 数 据 库 中 ， 并 在 需要 的 时 候 通 过 GET 请 求 从 中 
取 回 这 个 值 。 


我 们 同样 需 an redis/bin/webapp 文件 在 使 用 之 前 具 
备 可 执行 权限 ， 这 可 以 通过 chmod 命令 来 实现 ， 如 代码 清单 5-30 所 
ZR ° 


代码 清单 5-30 ffwebapp_redis/bin/webapp 文件 可 执行 


$ chmod +x webapp_redis/bin/webapp 


2. 构建 Redis 数 据 库 镜像 


为 了 构建 Redis 数 据 库 ， 要 创建 一 个 新 的 镜像 。 我 们 需要 在 sinatra 
目 孙 下 创建 一 个 redis 目录 ， 用 来 保存 构建 Redis 容 器 所 需 的 所 有 相关 
文件 ， 如 代码 清单 5-31 所 示 。 


代码 清单 5-31 为 Redis 容 器 创建 目录 


$ mkdir -p sinatra/redis 
$ cd sinatra/redis 


fESinatra/redis Ase, IERM MRedisin RIA 
Dockerfile 开始 ， 如 代码 清单 5-32 所 示 。 


代码 清单 5-32 ”用 于 Redis 镜 像 的 Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yyq update && apt-get -yqq install redis-server 


redis-tools 

EXPOSE 6379 

ENTRYPOINT [ "/usr/bin/redis-server" ] 
CMD [] 


我 们 在 Dockerfile 里 指定 了 安装 Redis 服 务 器 ， 公 开 6379 端口 ， 并 
指定 了 启动 Redis 服 务 器 的 ENTRYPOINT 。 现 在 来 构建 这 个 镜像 ， 命 名 
AjamturO1i/redis ， 如 代码 清单 5-33 所 示 。 


代码 清单 5-33 ”构建 Redis 镜 像 


$ sudo docker build -t jamtur01/redis . 


现在 从 这 个 新 镜像 构建 容 右 ， 如 代码 清单 5-34 所 示 。 


代码 清单 5-34 ”启动 Redis 容 器 


a 


$ sudo docker run -d -p 6379 --name redis jamtur01/redis 
0a206261f079 


可 以 看 到 ， 我 们 从 jamtur01/redis 镜像 启动 了 一 个 新 的 容器 ， 名 
字 是 redis“。 注 意 ， 我 们 指定 了 -p 标志 来 公开 6379 端口 。 看 看 这 个 
端口 映射 到 宿主 机 的 哪个 端口 ， 如 代码 清单 5-35 所 示 。 


代码 清单 5-35 “检查 Redis 端 口 


$ sudo docker port redis 6379 
0.0.0.0:49161 


Redis 的 端口 映射 到 了 49161 端口 。 试 着 连接 到 这 个 Redis 实 例 。 


我 们 需要 在 本 地 安装 Redis 客 户 端 做 测试 。 在 Ubuntu 系统 上 ， 客 户 端 程 
序 一 般 在 redis-tools 包 里 ， 如 代码 清单 5-36 所 示 ° 


代码 清单 5-36 ”在 Ubuntu 上 安装 redis-tools 包 


$ sudo apt-get -y install redis-tools 


而 在 Red Hat 及 相关 系统 上 ， 包 名 则 为 redis ， 如 代码 清单 5-37 所 示 。 


代码 清单 5-37 ”在 Red Hat 等 上 安装 Redis 包 


$ sudo yum install -y -q redis 


然后 ， 可 以 使 用 redis-cili 命令 来 确认 Redis 服 务 絮 工作 是 否 正 常 ， 
如 代码 清单 5-38 所 示 。 


代码 清单 5-38 测试 Redis 连 接 


$ redis-cli -h 127.0.0.1 -p 49161 
redis 127.0.0.1:49161> 


这 里 使 用 Redis 客 户 端 连 接 到 127.0.0.1 的 49161 端口 ， 验 证 了 Redis 
服务 器 正在 正常 工作 。 可 以 使 用 quit 命令 来 退出 Redis CLI 接口 。 


5.2.4 将 Sinatra 应 用 程序 连接 到 Redis 容 器 


现在 来 更 新 Sinatra 应 用 程序 ， 让 其 连接 到 Redis 并 存储 传 入 的 参数 。 为 
a m he = RedishRA an i o BEA, a AH A RL 
YE 0 


。 Docker 的 内 部 网 络 。 

。 从 Docker 1.9 及 之 后 的 版 本 开始 ， 可 以 使 用 Docker Networking 以 及 
docker network 命 令 。 

© Docker 链 接 。 一 个 可 以 将 具体 容 絮 链接 到 一 起 来 进行 通信 的 抽象 


es 


那么 ， 我 们 应 该 选择 哪 种 方法 呢 ? 第 一 种 方法 ，Docker 的 内 部 网 络 这 
种 解决 方案 并 不 是 灵活 、 强 大 。 我 们 针对 这 种 方式 的 讨论 ， 也 只 是 为 
了 介绍 Docker 网 络 是 如 何 工作 的 。 我 们 不 推荐 采用 这 种 方式 来 连接 
Docker 容 器 。 


两 种 比较 现实 的 连接 Docker 容 絮 的 方式 是 Docker Networking 和 Docker 
链接 (Docker link) 。 具 体 应 该 选择 哪 种 方式 取决 于 用 户 运 行 的 
Docker 的 版 本 。 如 果 用 户 正 在 使 用 Docker 1.9 或 者 更 新 的 版 本 ， 推 荐 使 
用 Docker Networking， 如 有 果 使 用 的 是 Docker 1.9 之 前 的 版 本 ， 应 该 选择 
Docker 链 接 。 


在 Docker Networking 和 Docker 链 接 之 间 也 有 一 些 区 别 。 这 也 是 我 们 推 
荐 使 用 Docker Networking 而 不 是 链接 的 原因 。 


。 Docker Networking 可 以 将 容器 连接 到 不 同和 宿主 机 上 的 容器 。 

。 通过 Docker Networking 连 接 的 容器 可 以 在 无 需 更 新 连接 的 情况 
下 ， 对 停止 、 启 动 或 者 重启 容器 。 而 使 用 Docker 链 接 ， 则 可 能 需 
ad 一 些 配置 ， 或 者 重 局 相应 的 容器 来 维护 Docker 容 器 之 间 的 
Tze © 

。 使 用 Docker Networking， 不 必 事 先 创 建 容器 再 去 连接 它 。 同 样 ， 
A EA AY ANEAN AIA a FE 

HACE o 


在 后 面 儿 节 中 ， 我 们 将 会 看 到 将 Docker 容 器 连接 起 来 的 各 种 解决 方 


Z o 


5.2.5 Docker 内 部 连 网 


第 一 种 方法 涉及 Docker 上 自己 的 网 络 栈 。 到 目前 为 止 ， 我 们 看 到 的 
Docker 容 絮 都 是 公开 端口 并 绑 定 到 本 地 网 络 接口 的 ， 这 样 可 以 把 容 妖 
里 的 服务 在 本 地 Docker 宿 主机 所 在 的 外 部 网 络 上 (比如 ， 把 容器 里 的 
80 端 口 绑 到 本 地 宿主 机 的 更 高 端口 上 ) 公开 。 除 了 这 种 用 法 ，Docker 
这 个 特性 还 有 种 用 法 我 们 没有 见 过 ， 那 就 是 内 部 网 络 。 

在 安装 Docker 时 ， 会 创建 一 个 新 的 网 络 接口 ， 名 字 是 docker0 。 每 个 


Docker 容 塔 都 会 在 这 个 接口 上 分 配 一 个 了 地 址 。 来 看 看 目前 Docker 征 
主机 上 这 个 网 络 接口 的 信息 ， 如 代码 清单 5-39 所 示 。 


Ea Docker 自 1.5.0 版 本 开始 文 持 IPv6， 要 启动 这 一 功能 ， 可 以 在 运行 Docker 守 护 进 程 时 加 
上 --ipv6 标志 。 


代码 清单 5-39 dockerg 网 络 接口 


$ ip a show dockerg 
4: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
noqueue state UP 

link/ether 06:41:69:71:00:ba brd ff: ff: ff: ff: ff: fF 

inet 172.17.42.1/16 scope global docker®O 

inet6 fe80::1cb3:6eff:fee2:2df1/64 scope link 


valid_lft forever preferred_lft forever 


可 以 看 到 ，docker9 接口 有 符合 RFC1918 的 私有 IP 地 址 ， 范 围 是 
172.16~172.30。 接 口 本 身 的 地 址 172.17.42.1 是 这 个 Docker 网 
络 的 网 天 地 址 ， 也 是 所 有 Docker 容 器 的 网 关 地 址 。 


EHN Docker 会 默认 使 用 172 .17 .x.x 作为 子 网 地 址 ， 除 非 已 经 有 别人 占用 了 这 个 子 网 。 如 
果 这 个 子 网 被 占用 了 ，Docker 会 在 172.16~172.30 这 个 范围 内 尝试 创建 子 网 。 


接口 dockerg 是 一 个 虚拟 的 以 太 网 桥 ， 用 于 连接 容器 和 本 地 答 主 网 
络 。 如 采 进 一 步 得 看 Docker 箱 主机 的 其 他 网 络 接口 ， 会 发 现 一 系列 名 
字 以 veth 开头 的 接口 ， 如 代码 清单 5-40 所 示 。 


代码 清单 5-40 veth 接口 


vethec6a Link encap:Ethernet Hwaddr 86:e1:95:da:e2:5a 
inet6 addr: fe80::84e1:95ff:feda:e25a/64 Scope:Link 


Peas 会 创建 一 组 互联 的 网 络 接 口 。 这 组 接口 就 像 
道 的 两 端 〈 就 是 说 ， 从 一 端 发 送 的 数据 会 在 另 一 端 接 收 到 ) 。 这 组 
接口 其 中 一 端 作为 容器 里 的 ethg 接口 ， 而 另 一 端 统一 命名 为 类 似 
vethecea 这 种 名 字 ， 作 为 牡 主机 的 一 个 端口 。 可 以 把 veth 接口 认 
为 是 虚拟 网 线 的 一 端 。 这 个 虚拟 网 线 一 端 揪 在 名 为 dockerg 的 网 桥 
上 ， 另 一 端 插 到 容 右 里 。 通 过 把 每 个 veth* 接口 绑 定 到 dockerg 网 
桥 ， Docker Bl I~“ i 拟 子 网 ， 这 个 子 网 由 宿主 机 和 所 有 的 Docker 
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代码 清单 5-41 ”容器 内 的 eth0 接 口 


$ sudo docker run -t -i ubuntu /bin/bash 

root@b9107458f16a:/# ip a show etho 

1483: eth0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast 
state UP group default qlen 1000 


link/ether f2:1f:28:de:ee:a7 brd ff: ff: ff: ff: ff: fF 
inet 172.17.0.29/16 scope global etho 

inet6 fe80::f01fF:28fFf:fede:eea7/64 scope link 
valid_lft forever preferred_lft forever 


可 以 看 到 ， Docker 给 器 分 配 了 IP 地 址 172 .17 .0 ,29 作为 宿主 虚拟 
接口 的 男 一 端 。 够 让 宿主 网 络 和 容器 互相 通信 了 。 


让 我 们 从 容 妖 内 跟踪 对 外 通信 的 路 由 ， 看 看 是 如 何 建 立 连 接 的 ， 如 代 
码 清单 5-42 所 示 。 


代码 清单 5-42 ”在 容器 内 跟踪 对 外 的 路 由 


root@b9107458f16a:/# apt-get -yqq update && apt-get install -yqd 
traceroute 


root@b9107458f16a:/# traceroute google.com 

traceroute to google.com (74.125.228.78), 30 hops max, 60 byte 
packets 

1 172.17.42.1 (172.17.42.1) 0.078 ms 0.026 ms 0.024 ms 


15 iad23s07-in-f14.1e100.net (74.125.228.78) 32.272 ms 28.050 
ms 25.662 ms 


可 以 看 到 ， 容 器 地 址 后 的 下 一 跳 是 答 主 网 络 上 docker9 接口 的 网 关 
IP172.17.42.1 ° 


不 过 Docker 网 络 还 有 另 一 个 部 分 配置 才能 允许 建立 连接 : 防火 墙 规 则 
和 NAIT 配 置 。 这 些 配 置 允 许 Docker 在 宿主 网 络 和 容器 间 路 由 。 现 在 来 
查看 一 下 宿主 机 上 的 IPTables NAT 配 置 ， 如 代码 清单 5-43 所 示 。 


代码 清单 5-43 ”Docker 的 iptables 和 NAT 配 置 


$ sudo iptables -t nat -L -n 

Chain PREROUTING (policy ACCEPT) 

target prot opt source destination 

DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type 
LOCAL 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

DOCKER all -- 0.0.0.0/0 1127.0.0.0/8 ADDRTYPE match dst-type 
LOCAL 

Chain POSTROUTING (policy ACCEPT) 

target prot opt source destination 

MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16 

Chain DOCKER (2 references) 

target prot opt source destination 

DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:49161 
to:172.17.0.18:6379 


这 里 有 几 个 值得 注意 的 IPTables 规 则 。 首 先 ， 我 们 注意 到 ， 容 属 默 认 是 
无 法 访问 的 。 从 答 主 网 络 与 容器 通信 有 时， 必须 明确 指定 打开 的 端口 。 
下 面 我 们 以 DNAT ( 即 目 标 NAT) 这 个 规则 为 例 ， 这 个 规则 把 容 妖 里 
的 访问 路 由 到 Docker 和 宿主 机 的 49161 端口 。 


EN 起 了 解 更 多 关于 Docker 的 高 级 网 络 配置 ， 有 一 篇 文章 中] 很 有 用 。 
Redis 容 器 的 网 络 


下 面 我 们 用 docker “inspect 命令 来 查看 新 的 Redis 容 器 的 网 络 配 
置 ， 如 代码 清单 5-44 所 示 。 


代码 清单 5-44 Redis 容 器 的 网 络 配置 


$ sudo docker inspect redis 


"NetworkSettings": { 
"Bridge": "dockerO", 
"Gateway": "172.17.42.1", 
"TPAddress": "172.17.0.18", 
"TPPrefixLen": 16, 
"PortMapping": null, 
"Ports": { 

"6379/tcp": [ 
{ 


"HostIp": "0.0.0.0", 
"HostPort": "49161" 


docker inspect 命令 展示 了 Docker 容 器 的 细节 ， 这 些 细节 包括 配 


置信 息 和 网 络 状况 。 为 了 清晰 ， 这 个 例子 去 掉 了 大 部 分 信息 ， 只 展示 
了 网 络 配置 。 也 可 以 在 命令 里 使 用 -ff 标志 ， 只 获取 IP 地 址 ， 如 代码 清 
单 5-45 所 示 。 


代码 清单 5-45 ”查看 Redis 容 器 的 IP 地 址 


$ sudo docker inspect -f '{{ .NetworkSettings.IPAddress }}' redis 
172.17.0.18 


通过 运行 docker inspect 命 令 可 以 看 到 ， 容 器 的 PHILA 
172.17.0.18， 并 使 用 了 docker0 接 口 作为 网 关 地 址 。 还 可 以 看 到 
6379 端 口 被 映射 到 本 地 宿主 机 的 49161 端 口 。 只 是 ， 因 为 运行 在 本 地 
的 Docker 和 宿主 机 上 ， 所 以 不 是 一 定 要 用 映射 后 的 端口 ， 也 可 以 直接 使 
用 172.17.0.18 地 址 与 Redis 服 务 恬 的 6379 端 口 通信 ， 如 代码 清单 
5-46 所 示 。 


代码 清单 5-46 ”直接 与 Redis 容 器 通信 


$ redis-cli -h 172.17.0.18 
redis 172.17.0.18:6379> 


在 确认 完 可 以 连接 到 Redis 服 务 之 后 ， 可 以 使 用 quit 命令 退出 Redis 接 
[Jo 


EJ Docker 默 认 会 把 公开 的 端口 绑 定 到 所 有 的 网 络 接口 上 上。 因此， 也 可 以 通过 
localhost 或 者 127.0.0.1 来 访问 Redis 服 务 器 。 


因此 ， 虽 然 第 一 眼看 上 去 这 是 让 容器 互联 的 一 个 好 方案 ， 但 可 惜 的 
是 ， 这 种 方法 有 两 个 大 问题 ， 第 一 ， 要 在 应 用 程序 里 对 Redis 容 器 的 IP 
地 址 做 硬 编码 ;第 二 ， 如 果 重 启 容 器 ，Docker 会 改变 容器 的 了 地址 。 
现在 用 docker restart 命令 来 看 看 地 址 的 变化 ， 如 代码 清单 5-47 所 
ee kill 命令 杀 死 容器 再 重启 ， 也 会 得 到 同样 
byt BA o 


代码 清单 5-47 重启 Redis 容 器 


$ sudo docker restart redis 


让 我 们 查看 一 下 容器 的 IP 地 址 ， 如 代码 清单 5-48 所 示 。 
代码 清单 5-48 ”查找 重启 后 Redis 容 器 的 IP 地 址 


$ sudo docker inspect -f '{{ .NetworkSettings.IPAddress }}' redis 
172.17.0.19 


可 以 看 到 ，Redis 容 器 有 了 新 的 也 地址 172 .17 .0.19 ， 这 就 意味 着 ， 
如 果 在 Sinatra 应 用 程序 里 硬 编码 了 原来 的 地 址 ， 那 么 现在 就 无 法 让 应 
用 程序 连接 到 Redis 数 据 库 了 。 这 可 不 那么 好 用 。 


谢 天 谢 地 ， 从 Docker 1.9 开 始 ，Docker 连 网 已 经 灵活 得 多 。 让 我 们 来 看 
一 下 ， 如 何 用 新 的 连 网 框架 连接 容器 。 


5.2.6 Docker Networking 


容 絮 之 间 的 连接 用 网 络 创建 ， 这 被 称 为 Docker Networking, th 
Docker 1.9 发 布 版 本 中 的 一 个 新 特性 。Docker Networking 人 允许 用 户 创建 
目 己 的 网 络 ， 容 絮 可 以 通过 这 个 网 上 互相 通信 。 实 质 上 ，Docker 
Networking 以 新 的 用 户 管 理 的 网 络 补充 了 现 有 的 docker0。 更 重要 的 


是 ， 现 在 容器 可 以 跨越 不 同 的 宿主 机 来 通信 ， 并 且 网 络 配置 可 以 更 灵 
活 地 定制 。 ° Docker Networking 也 和 Docker Compose 以 及 Swarmj 进 行 了 
集成 ， 第 7 章 将 对 Docker Compose 和 Swarm 进行 介绍 。 


EEJ Docker Networking 支 持 也 是 可 插 拔 的 ， 也 就 是 说 可 以 增加 网 络 驱 动 以 支持 来 自 不 同 网 
络 设备 提供 商 〈 如 Cisco 和 VMware) 的 特定 拓扑 和 网 络 框架 


下 面 我 们 束 来 看 一 个 简单 的 例子 ， 局 动 前 面 的 Docker 链 接 例子 中 使 用 
的 Web 应 用 程序 以 及 Redis 容 器 。 要 想 使 用 Docker 网 络 ， 需 要 移 创 建 一 
个 网 络 ， 然 后 在 这 个 网 络 下 局 动容 器 ， 如 代码 清单 5-49 所 示 。 


代码 清单 5-49 创建 Docker 网 络 


$ sudo docker network create app 
ec8bc3a70094a1ac3179b232bc185Ffcdai20dad85dec394e6b5b01f 7006476d4 


这 里 用 docker network 命令 创建 了 一 个 桥接 网 络 ， 命 名 为 app , 
这 个 命令 返回 新 创建 的 网 络 的 网 络 ID © 


然后 可 以 用 docker network inspect 命令 查看 新 创建 的 这 个 网 
络 ， 如 代码 清单 5-50 所 示 。 


代码 清单 5-50 ”查看 app 网 络 


$ sudo docker network inspect app 


[ 


"Name": "app", 
"Ta: " 


ec8bc3a70094a1ac3179b232bc185fcda120dad85dec394e6b5b01f7006476d4 
" 


"Scope": "local", 
"Driver": "bridge", 
"IPAM": { 
"Driver": "default", 
"Config": [ 
{} 
] 


£ 
"Containers": {}, 
"Options": {} 


EOSS “EEE 
我 们 可 以 看 到 这 个 新 网 络 是 一 个 本 地 的 桥接 网 络 (这 非常 像 docker0 
网 络 ) ， 而 且 现 在 还 没有 容器 在 这 个 网 络 中 运行 。 


Basa 除了 运行 于 单个 主机 之 上 的 桥接 网 络 ， 我 们 也 可 以 创建 一 个 overlay 网 络 ， 
overlay i mH -我 们 路 多 合 宿主 机 进行 通信 。 可 以 在 Docker 多 宿主 机 网 络 文档 |! 中 获取 
更 多 关于 overlay 网 络 的 信息 


可 以 使 用 docker network 1s 命令 列 出 当前 系统 中 的 所 有 网 络 ， 如 
代码 清单 5-51 所 示 。 


代码 清单 5-51 docker``network``ls 命令 


$ sudo docker network 1s 

NETWORK ID NAME DRIVER 
a74047bace7e bridge bridge 
ec8bc3a70094 app bridge 


8f0d4282ca79 none null 
7c8cd5d23ad5 host host 


也 可 以 使 用 docker network rm 命令 删除 一 个 Docker 网 络 。 下 面 我 
们 先 从 启动 Redis 容 器 开始 ， 在 之 前 创建 的 app 网 络 中 添加 一 些 容器 ， 
如 代码 清单 5-52 所 示 。 


代码 清单 5-52 ”在 Docker 网 络 中 创建 Redis 容 器 


$ sudo docker run -d --net=app --name db jamtur01/redis 


这 里 我 们 基于 jamtur01/redis 镜像 创建 了 一 个 名 为 db 的 新 容器 。 
我 们 同时 指定 了 一 个 新 的 标志 - -net ，- -net 标志 指定 了 新 容器 将 会 
在 哪个 网 络 中 运行 。 


这 时 ， 如 果 再 次 运行 docker network inspect 命令 ， 将 会 看 到 这 
个 网 络 更 详细 的 信息 ， 如 代码 清单 5-53 所 示 。 


代码 清单 5-53 ”更 新 后 的 app 网 络 


$ sudo docker network inspect app 


[ 


"Name": "app", 
a ie pee " 


ec8bc3a70094a1ac3179b232bc185fcda120dad85dec394e6b5b01f7006476d4 
" 


"Scope": "local", 
"Driver": "bridge", 
"IPAM": { 
: "default", 
[ 


"Containers": { 
"9 


a5aclaa39d84a1678b51¢26525bda2b89fbh9a837/f03c871441aec645958fe73 
“EndpointID": "21 

a90395cb5a2c2868aaa77e05f0dd06a4ad161e13e99ed666741dc0219174ef 
"MacAddress": "Q2:42:ac:12:00:02", 


"TPv4Address": "172.18.0.2/16", 
"TPv6Address": "" 


ty 
"Options": {} 


现在 在 这 个 网 络 中 ， 我 们 可 以 看 到 一 个 容器 ， 它 有 一 个 MAC 地 址 ， 并 
且 IP 地 址 为 172.18.0.2 ° 


接着 ， 我 们 再 在 我 们 创建 的 网 络 下 增加 一 个 运行 局 用 了 Redis 的 Sinatra 
应 用 程序 的 容器 ， 要 做 到 这 一 点 ， 需 要 驳回 到 sinatra/webapp H 
录 下， 如 代码 清单 5-54 所 示 。 


mt 


代码 清单 5-54 ”链接 Redis 容 器 


$ cd sinatra/webapp 
$ sudo docker run -p 4567 \ 
--net=app --name webapp -t -i \ 


-v $PWD/webapp:/opt/webapp jamtur@1/sinatra \ 
/bin/bash 
root@305c5Ff27dbd1: /# 


G5559 这 是 启用 了 Redis 的 Sinatra 应 用 程序 ， 我 们 在 前 面 Docker 链 接 的 例子 中 用 过 。 其 代码 可 


以 从 http://dockerbook.com/code/5/sinatra/webapp_redis/ 或 者 Docker Book 网 站 9! 获取 。 


我 们 在 app 网 络 下 启动 了 一 个 名 为 webapp 的 容器 。 我 们 以 交互 的 方 
式 启 动 了 这 个 容器 ， 以 便 我 们 可 以 进入 里 面 看 看 它 内 部 发 生 了 什么 。 


由 于 这 个 容器 是 在 app 网 络 内 部 局 动 的 ， 因 此 Docker 将 会 感知 到 所 有 
在 这 个 网 络 下 运行 的 容器 ， 并 且 通 过 /etc/hosts 文件 将 这 些 容器 的 
地 址 保存 到 本 地 DNS 中 。 我 们 就 在 webapp 容 絮 中 看 看 这 些 信息 ， 如 
代码 清单 5-55 所 示 。 


代码 清单 5-55 webapp 容器 的 /etc/hosts 文件 


/etc/hosts 
.18.0.3 305c5f27dbd1 
.0.0.1 localhost 


db 
db.app 


我 们 可 以 看 到 /etc/hosts 文件 包含 了 webapp 容器 的 耳 地址 ， 以 及 
一 条 localhost 记录 。 同 时 ， 该 文件 还 包含 两 条 关于 db 容器 的 记 
录 。 第 一 条 是 db 容器 的 主机 名 和 IP 地 址 172.18.0.2。 第 二 条 记录 
则 将 app 网 络 名 作为 域名 后 级 添加 到 主机 名 后 面 ，app 网 络 内 部 的 任 
何 主机 都 可 以 使 用 hostname ,app 的 形式 来 被 解析 ， 这 个 例子 里 是 
db.app 。 下 面 我 们 就 来 试 试 ， 如 代码 清单 5-56 所 示 。 


代码 清单 5-56 Pinging db.ap``p 


$ ping db.app 

PING db.app (172.18.0.2) 56(84) bytes of data. 

64 bytes from db (172.18.0.2): icmp_seq=1 ttl=64 time=0.290 ms 
64 bytes from db (172.18.0.2): icmp_seq=2 ttl=64 time=0.082 ms 


64 bytes from db (172.18.0.2): icmp_seq=3 ttl=64 time=0.111 ms 


但 是 ， 在 这 个 例子 里 ， 我 们 只 需要 db & HAA DALES TAY A FEFE 
党 工作 了 ， 我 们 的 Redis 连 接 代 码 里 使 用 的 也 是 db 这 个 主机 和 名， 如 代 
码 清 单 5-57 所 示 。 


代码 清单 5-57 代码 中 指定 的 Redis DB 主机 名 


redis = Redis.new(:host => 'db', :port => '6379') 


现在 ， 就 可 以 启动 我 们 的 应 用 程序 ， 并 且 让 Sinatra 应 用 程序 通过 db 和 
webapp 两 个 容 絮 间 的 连接 ， 将 接收 到 的 参数 写 入 Redis 中 ，db 和 
webapp 容器 间 的 连接 也 是 通过 app 网 络 建立 的 。 重 要 的 是 ， 如 果 任 
何 一 个 容器 重启 了 ， 那 么 它们 的 IP 地 址 信息 则 会 自动 在 /etc/hosts 
文件 中 更 新 。 也 就 是 说 ， 对 底层 容 姻 的 修改 并 不 会 对 我 们 的 应 用 程序 
正常 工作 产生 影响 。 


让 我 们 在 容 絮 内 局 动 我 们 的 应 用 程序 ， 如 代码 清单 5-58 所 示 。 


代码 清单 5-58 ”启动 启用 了 Redis 的 Sinatra 应 用 程序 


root@305c5f27dbd1:/# _nohup /opt/webapp/bin/webapp &_ 
nohup: ignoring input and appending output to 'nohup.out' 


x Da ASTIA SIXT Sinatralbv A EF, Re Be at 
Ree — PF Ba A Sinatra ae IX A She TR iio, BO 
码 清 单 5-59 所 示 。 


代码 清单 5-59 ”检查 Sinatra 容 器 的 端口 映射 情况 


$ sudo docker port webapp 4567 
0.0.0.0:49161 


很 好 ， 我 们 看 到 容器 中 的 4567 in AE BF EDL EW 49161 端 
口 。 让 我 们 利用 这 些 信 息 在 Docker 宿 主机 上 ， 通 过 cur1l 命令 来 测试 
一 下 我 们 的 应 用 程序 ， 如 代码 清单 5-60 所 示 。 


代码 清单 5-60 测试 启用 了 Redis 的 Sinatra 应 用 程 请 


$ curl -i -H ‘Accept: application/json' \ 

-d 'name=Foo&status=Bar' http://localhost:49161/json 
HTTP/1.1 200 OK 

X-Content-Type-Options: nosniff 

Content-Length: 29 

X-Frame-Options: SAMEORIGIN 


Connection: Keep-Alive 

Date: Mon, 01 Jun 2014 02:22:21 GMT 
Content-Type: text/html; charset=utf-8 

Server: WEBrick/1.3.1 (Ruby/1.8.7/2011-06-30) 
X-Xss-Protection: 1; mode=block 
{"name": "Foo", "status": "Bar"} 


接 看 我 们 再 来 确认 一 下 Redis 实 例 是 否 已 经 接收 到 了 这 次 更 新 ， 如 代码 
清单 5-61 所 示 。 


代码 清单 5-61 ”确认 Redis 容 器 数据 


$ curl -i http://localhost:49161/json 
"T{\"name\":\"Foo\", \"status\":\"Bar\"}]" 


我 们 连接 到 了 已 经 连接 到 Redis 的 应 用 程序 ， 然 后 检查 了 一 下 是 否 存在 
一 个 名 为 params 的 键 ， 并 查询 这 个 键 ， 看 我 们 的 参数 

(name=Foo` 和 ` ` status=Bar ) 是 否 已 经 保存 到 Redis 中 。 一 切 
工作 正常 。 


1. 将 已 有 容器 连接 到 Docker 网 络 


也 可 以 将 正在 运行 的 容器 通过 docker network connect 命令 添加 
到 已 有 的 网 络 中 。 因 此 ， 我 们 可 以 将 已 经 存在 的 容 絮 添加 a 到 app 网 络 
中 。 假 设 已 经 存在 的 容器 名 为 db2 ， 这 个 容器 里 也 运行 着 Redis， 让 我 
们 将 这 个 容器 添加 到 app 网 络 中 去 ， 如 代码 清单 5-62 所 示 。 


代码 清单 5-62 添加 已 有 容器 到 app 网 络 


$ sudo docker network connect app db2 


现在 如 果 查 看 app 网 络 的 详细 信息 ， 应 该 会 看 到 3 个 容器 ， 如 代码 清 
单 5-63 所 示 。 


代码 清单 5-63 ”添加 db2 容器 后 的 app 网 络 


$ sudo docker network inspect app 


"Containers": { 

"2 
fa7477c58d7707ea14d147f0f12311bb1f77104e49db55ac346d0ae961ac401 
ma 


"EndpointID": " 
c510c78af496fb88f1b455573d4c4d7fdfc024d364689a057b98ea20287bfc0d 
W 


了 
"MacAddress": "Q2:42:ac:12:00:02", 
"TPv4Address": "172.18.0.2/16", 
"TPv6Address": "" 


c5f27dbd11773378f93aa58e86b2Ff 710dbfca9867320F82983Fcb6ba79e779 
ma 

"EndpointID": "37 
be9b06f031fcc389e98d495c71c7ab31eb57706ac8b26d4210b81d5c687282 
" 


1 
"MacAddress": "02:42:ac:12:00:03", 
"IPv4Address": "172.18.0.3/16", 
"IPv6Address": "" 
}, 
"70 
df5744df3b46276672fb49fFfiebad5e0e95364737334e188a474eF4140ae56b 
Wa 
"EndpointID": "47 
faec311dfac22f2ee8c1b874b87ce8987ee65505251366d4b9db422a749ale 
W 

1 
"MacAddress": "02:42:ac:12:00:04", 
"IPv4Address": "172.18.0.4/16", 
"IPv6Address": "" 
} 
}, 


所 有 这 3 个 容器 的 /etc/hosts 文件 都 将 会 包含 webapp 、db 和 db2 
容 强 的 DNS 信 息 。 


我 们 也 可 以 通过 docker network disconnect 命令 断 开 一 个 容器 


与 指定 网 络 的 链接 ， 如 代码 清单 5-64 所 示 。 
代码 清单 5-64 ”从 网 络 中 断 开 一 个 容器 


$ sudo docker network disconnect app db2 


这 条 命令 会 从 app 网 络 中 断 开 db2 容器 。 


一 个 容器 可 以 同时 隶属 于 多 个 Dcoker 网 络 ， 所 以 可 以 创建 非常 复杂 的 


EZ Docker 官方 文档 Ol 有 中 很 多 关于 Docker Networking 的 详细 信息 。 
2. 通过 Docker 链 接连 接 容 器 
连接 容 属 的 另 -PE EEEH Docker tit Be 。 在 Docker 1.9 之 前 ， 这 是 
首选 的 容器 连 授 方 式 ， 并 且 只 有 在 运行 1.9 之 前 版 本 的 情况 下 才 推 荐 这 
种 方式 。 让 一 个 容 絮 链接 到 男 一 个 容 右 是 一 个 简单 的 过 程 ， 这 个 过 程 
要 引用 容器 的 名 字 。 
考虑 到 还 在 使 用 低 于 Docker 1.9 版 本 的 有 用户， 我 们 来 看 看 Docker 链 接 是 


如 何 工作 的 。 让 我 们 从 新 建 一 个 Redis 容 器 开始 (或 者 也 可 以 重用 之 前 
创建 的 那个 容器 ， 如 代码 清单 5-65 所 示 。 


代码 清单 5-65 ”启动 男 一 个 Redis 容 器 


$ sudo docker run -d --name redis jamtur01/redis 


ELA 还 记得 容器 的 名 字 是 唯一 的 吗 ? 如 果 要 重建 一 个 容器 ， 在 创建 另 一 个 名 叫 redis 的 容 


器 之 前 ， 需 要 先 用 docker ~~ rm 命令 删 掉 旧 的 redis 容器 。 


现在 我 们 已 经 在 新 容器 里 启动 了 一 个 Redis 实 例 ， 并 使 用 - -name 标志 
将 新 容 堪 命名 为 redis。 


国生 读者 也 应 该 注意 到 了 ， 这 里 没有 公开 容器 的 任何 端口 。 一 会 儿 就 能 看 到 这 么 做 的 原 
大 | o 


现在 让 我 们 局 动 Web 应 用 程序 容器 ， 并 把 它 链接 到 新 的 Redis 容 器 上 
去 ， 如 代码 清单 5-66 所 示 。 


代码 清单 5-66 ”链接 Redis 容 器 


$ sudo docker run -p 4567 \ 
--name webapp --link redis:db -t -i \ 
-v $PWD/webapp_redis:/opt/webapp jamtur01/sinatra \ 


/bin/bash 
root@811bd6d588cb:/# 


请 对 未 需要 使 用 docker rm 命令 停止 并 删除 之 前 的 webapp 容器 。 


这 个 命令 做 了 不 少 事情 ， 我 们 要 逐一 解释 。 首 先 ， 我 们 使 用 -p 标志 公 
开 了 4567 端口 ， 这 样 就 能 从 外 面 访问 Web 应 用 程序 。 


我 们 还 使 用 了 - -name 标志 给 容 絮 命名 为 webapp ， 并 使 用 了 -v 标志 
把 Web 应 用 程序 目录 作为 卷 挂 载 到 了 容器 里 。 


然而 ， 这 次 我 们 使 用 了 一 个 新 标志 - - Link © --link 标志 创建 了 两 
个 容 右 间 的 客户 -服务 链接 。 这 个 标志 需要 两 个 参数 ， 一 个 是 要 链接 的 
容器 的 名 字 ， 男 一 个 是 链接 的 别名 。 这 个 例子 中 ， 我 们 创建 了 客户 联 
系 ，webapp 容 器 是 客户 ，redis 容器 是 “服务 ”， 并 且 为 这 个 服务 增 
加 了 db 作为 别名 。 这 个 别名 让 我 们 可 以 一 致 地 访问 容器 公开 的 信息 ， 
而 无 须 天 注 底 层 容 右 的 名 字 。 链 接 让 服务 容 强 有 能 力 与 客户 容 右 通 

言 ， 并 且 能 分 扣 一 些 连接 细节 ， 这 些 细 节 有 助 于 在 应 用 程序 中 配置 并 
使 用 这 个 链接 。 


连接 也 能 得 到 一 些 安全 上 的 好 处 。 注 意 ， 启 动 Redis 容 器 时 ， 并 没有 使 
用 -p 标志 公开 Redis 的 端口 。 因 为 不 需要 这 么 做 。 通 过 把 容器 链接 在 
一 起 ， 可 以 计 客户 容器 直接 访问 任意 服务 容器 的 公开 端口 ( 即 客户 
webapp 容器 可 以 连接 到 服务 redis 容器 的 6379 端口 ) 。 更 妙 的 
是 ， 只 有 使 用 - -1ink 标志 链接 到 这 个 容器 的 容器 才能 连接 到 这 个 端 
口 。 容 器 的 端口 不 需要 对 本 地 宿主 机 公开 ， 现 在 我 们 已 经 拥有 一 个 非 
常安 全 的 模型 。 通 过 这 个 安全 模型 ， 就 可 以 限制 容器 化 应 用 程序 被 攻 
击 面 ， 减 少 应 用 暴露 的 网 络 。 

铺 强 如 果 用 户 希 望 ， 出 于 安全 原因 (或 者 其 他 原因 ) ， 可 以 强制 Docker 只 允许 有 链接 的 容 


器 之 间 互 相通 信 。 为 此 ， 可 以 在 启动 Docker 守 护 进程 时 加 上 - -icc=false 标志 ， 关 闭 所 有 
没有 链接 的 容器 间 的 通信 。 


也 可 以 把 多 个 容 右 链接 在 一 起 。 比 如 ， 如 末 想 让 这 个 Redis 实 例 服务 于 
多 个 Web 应 用 程序 ， 可 以 把 每 个 Web 应 用 程序 的 容器 和 同一 个 redis 


AEREE, WI CISTR 5-67P7 ° 


代码 清单 5-67 链接 Redis 容 器 


$ sudo docker run -p 4567 --name webapp2 --link redis:db ... 


$ sudo docker run -p 4567 --name webapp3 --link redis:db ... 


我 们 也 能 够 指定 多 次 - - Link 标志 来 连接 到 多 个 容器 。 


EHR 容器 链接 目前 只 能 工作 于 同一 台 Docker 宿 主机 中 ， 不 能 链接 位 于 不 司 Docker 宿 主机 上 
的 容器 。 对 于 多 宿主 机 网 络 环境 ， 需 要 使 用 Docker Networking， 或 者 使 用 我 们 将 在 第 7 章 讨 
论 的 Docker Swarm ° Docker Swarm 可 以 用 于 完成 多 台 宿 主机 上 的 Docker 守 护 进 程 之 间 的 编 
排 。 


最 后 ， 让 容 圳 局 动 时 加 载 shell， 而 不 是 服务 守护 进程 ， 这 样 可 以 查看 
容器 是 如 何 链接 在 一 起 的 。Docker 在 父 容器 里 的 以 下 两 个 地 方 写 入 了 


链接 信息 。 


。/etc/hosts 文件 中 。 
。 包 含 连 接 信息 的 环境 变量 中 。 


先 来 看 看 /etc/hosts 文件 ， 如 代码 清单 5-68 所 示 。 


代码 清单 5-68 webapp 的 /etc/hosts 文件 


root@811bd6d588cb:/_# cat /etc/hosts_ 
172.17.0.33 811bd6d588cb 


172.17.0.31 db b9107458f16a redis 


这 里 可 以 看 到 一 些 有 用 的 项 。 第 一 项 是 容器 目 己 的 IP 地 址 和 主机 名 

(主机 名 是 容器 ID 的 一 部 分 。 第 二 项 是 由 该 连接 指令 创建 的 ， 它 是 
redis 容器 的 耳 地址 、 名 字 、 容 器 ID 和 从 该 连接 的 别名 衍生 的 主机 名 
db 。 现 在 试 着 ping 一 下 db 容器 ， 如 代码 清单 5-69 所 示 。 


对 容器 的 主机 名 也 可 以 不 是 其 ID 的 一 部 分 。 可 以 在 执行 docker run 命令 时 使 用 -h 或 
者 - -hostname 标志 来 为 容器 设 定 主 机 名 。 


代码 清单 5-69 ping 一 下 db 容器 


root@811bd6d588cb:/# ping db 

PING db (172.17.0.31) 56(84) bytes of data. 

64 bytes from db (172.17.0.31): icmp_seq=1 ttl=64 time=0.623 
64 bytes from db (172.17.0.31): icmp_seq=2 ttl=64 time=0.132 


64 bytes from db (172.17.0.31): icmp_seq=3 ttl=64 time=0.095 
64 bytes from db (172.17.0.31): icmp_seq=4 ttl=64 time=0.155 


如 果 在 运行 容器 时 指定 - -add-host 选项 ， 也 可 以 在 /etc/hosts 文 
件 中 添加 相应 的 记录 。 例 如 ， 我 们 可 能 想 添 加 运行 Docker 的 主机 的 主 
机 名 和 IP 地 址 到 容器 中 ， 如 代码 清单 5-70 所 示 。 


代码 清单 5-70 ”在 容器 内 添加 /etc/hosts 记录 


$ sudo docker run -p 4567 --add-host=docker:10.0.0.1 --name 
webapp2 --link redis:db ... 


这 将 会 在 容器 的 /etc/hosts 文 件 中 添加 一 个 名 为 docker、IP 地 址 为 
10.0.0.1 的 答 主 机 记录 。 


区 司 还 记得 之 前 提 到 过 ， 重 启 容器 时 ， 容 器 的 IP 地 址 会 发 生变 化 的 事情 么 ” 从 Docker 1.3 


始 ， 如 果 被 连接 的 容器 重启 了 ，/etc/host 文件 中 的 IP 地 址 会 用 新 的 IP 地 址 更 新 


我 们 已 经 连 到 了 Redis 数 据 库 ， 不 过 在 真 的 利用 这 个 连接 之 前 ， 我 们 先 
来 看 看 环境 变量 里 包含 的 其 他 连接 信息 。 


让 我 们 运行 env 命令 来 查看 环境 变量 ， 如 代码 清单 5-71 所 示 。 


代码 清单 5-71 显示 用 于 连接 的 环境 变量 


root@811bd6d588cb:/# env 
HOSTNAME=811bd6d588cb 
DB_NAME=/webapp/db 
DB_PORT_6379_TCP_PORT=6379 


DB_PORT=tcp://172.17.0.31:6379 
DB_PORT_6379_TCP=tcp://172.17.0.31:6379 
DB_ENV_REFRESHED_AT=2014-06-01 

DB_PORT_6379_TCP_ADDR=172.17.0.31 

DB_PORT_6379_TCP_PROTO=tcp 
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 


REFRESHED_AT=2014-06-01 


可 以 看 到 不 少 环境 变量 ， 其 中 一 些 以 DB 开头 。 Docker 在 连接 webapp 
和 redis 容 右 时 ， 目 动 创建 了 这 些 以 DB 开头 的 环境 变量 。 以 DB 开头 
征 因 为 DB 是 创建 连接 时 使 用 的 别名 。 

这 些 目 动 创建 的 环境 变量 包含 以 下 信息 : 


TARET; 
am ESITI A eA A ` PAHO 5; 


容器 里 由 Docker 设 置 的 环境 变量 的 值 。 
具体 的 变量 会 因 容 器 的 配置 不 同 而 有 所 不 同 (如 容器 的 Dockerfil 中 
由 ENV 和 EXPOSE 指令 定义 的 内 容 ) 。 重 要 的 是 ， 这 些 变量 包含 二 些 
我 们 可 以 在 应 用 程序 中 用 来 进行 持久 的 容器 间 链接 的 信息 。 
5.2.7 使 用 容器 连接 来 通信 


那么 如 何 使 用 这 个 连接 呢 ? 有 以 下 两 种 方法 可 以 让 应 用 程序 连接 到 
Redis ° 


。 使 用 环境 变量 里 的 一 些 连 接 信息 。 
。 使 用 DNS 和 /etc/hosts 信息 。 


先 试 试 第 一 种 方法 ， 看 看 Web 应 用 程序 的 ]ib/app .rb 文件 是 如 何 利 
用 这 些 新 的 环境 变量 的 ， 如 代码 清单 5-72 所 示 。 


代码 清单 5-72 ”通过 环境 变量 建立 到 Redis 的 连接 


al 
ate 
H 
过 | 
fea 
a 
il 
ay 
wd 
R 
w 
= 
了 
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= 
SE 
局 
sh 
ae 
HE 
O 
du 


require ‘uri' 


uri=URI.parse(ENV['DB_PORT' ]) 


redis = Redis.new(:host => uri.host, :port => uri.port) 


这 里 使 用 Ruby 的 URI 模 块 来 解析 DB_ PORT 环境 变量 ， 让 后 我 们 使 用 解 
HTJ BITE EALA Ym H At 来 配置 Redis 的 连接 信息 or 门 的 应 用 程序 现 
在 束 可 以 使 用 该 连接 信 电 来 找到 在 已 链接 容器 中 的 Redis 了 。 
模式 避免 了 我 们 在 代码 中 对 Redis 的 下地 址 和 端口 进行 硬 编码 ， 但 是 
仍然 是 一 种 简陋 的 服务 发 现 方式 。 


还 有 一 种 方法 ， 就 是 更 灵活 的 本 地 DNS， 这 也 是 我 们 将 要 选用 的 解决 
方案 ， 如 代码 清单 5-73 所 示 。 


E te eb tedocker run 命令 中 加 入 - -dns 或 者 - -dns-search 标志 来 为 某 个 容器 单 
独 配置 DNS。 你 可 以 设置 本 地 DNS 解 析 的 路 径 和 搜索 域 。 在 https://docs.docker.com/articles/ 
networking/ 上 可 以 找到 更 详细 的 配置 信息 。 如 果 没 有 这 两 个 标志 ，Docker 会 根据 宿主 机 的 信 
息 来 配置 DNS 解 析 。 可 以 在 /etc/resolv.conf 文件 中 查看 DNS 解析 的 配置 情况 。 


代码 清单 5-73 ”使 用 主机 名 连接 Redis 


redis = Redis.new(:host => 'db', :port => '6379') 


我 们 的 应 用 程序 会 在 本 地 查找 名 叫 db 的 牡 主机 ， 找 到 /etcVhosts 
主机 到 正确 的 也 地 址 。 这 也 解决 了 硬 编 码 IP 
J 上 9 题 o 


Tu 能 像 在 5.2.7 太 中 那样 测试 我 们 的 容 絮 连接 是 否 能 够 正 淀 工 


5.2.8 ”连接 容器 小 结 


我 们 已 经 了 解 了 所 有 能 让 Docker 容 器 互相 连接 的 方式 。 在 Docker 1.9 及 
之 后 版 本 中 我 们 推荐 使 用 Docker Networking， 而 在 Docker 1.9 之 前 的 版 
本 中 则 建议 使 用 Docker 链 接 。 无 论 采 用 哪 种 方式 ， 读 者 都 已 经 看 到 ， 
我 们 可 以 轻而易举 地 创建 一 个 包含 以 下 组 件 的 Web 应 用 程序 栈 : 


。 一 个 运行 Sinatra 的 Web 服 务 器 容器 ; 
。 一 个 Redis 数 据 库容 器 ; 
。 这 两 个 容器 间 的 一 人 1 个 安全 连接 o 


读者 应 该 也 能 看 出 ， 基 于 这 个 概念 ， 我 们 可 以 轻易 地 扩展 出 任意 数量 
的 应 用 程序 栈 ， 并 由 此 来 管理 复杂 的 本 地 开发 环境 ， 比 如 : 


e Wordpress ` HTML 、CSS 和 JavaScript: 
。 Ruby on Rails; 

e Django 和 Flask; 

e Node.js; 

e Play! ; 

。 用 户 喜 欢 的 其 他 框架 。 


这 样 束 可 以 在 本 地 环境 构建 、 复 制 、 迄 代 开 发 用 于 生产 的 应 用 程序 ， 
甚至 很 复杂 的 多 层 应 用 程序 。 


5.3 Docker 用 于 持续 集成 


到 目前 为 止 , 所 有 的 测试 例子 都 是 本 地 的 、 围 绕 单 个 开发 者 的 〈 融 是 
说 ， 如 何 让 本 地 开发 者 使 用 Docker 来 测试 本 地 网 站 或 者 应 用 程序 ) 。 
现在 来 看 看 在 多 开发 者 的 持续 集成 上 测试 场景 中 如 何 使 用 Docker 。 


Docker 很 擅长 快速 创建 和 处 理 一 个 或 多 个 容 邵 。 这 个 能 力 显 然 可 以 为 
寺 续 集成 测试 这 个 概念 提供 帮助 。 在 测试 场景 里 ， 用 户 需 要 频 渗 安 六 
软件 ， 或 者 部 署 到 多 台 答 主机 上 ， 运 行 测 试 ， 再 清理 答 主 机 为 下 一 次 
运行 做 准备 。 


在 持续 集成 环境 里 ， 每 天 要 执行 好 几 次 安装 并 分 发 到 箱 主 机 的 过 程 。 
这 为 测试 生命 周期 增加 了 构建 和 配置 开销 。 打 包 和 安装 也 消耗 了 很 多 
时 间 ， 而 且 这 个 过 程 很 恼人 ， 尤 其 是 需求 变化 频繁 或 者 需要 复 洒 、 装 
时 的 处 理 步 又 进行 清理 的 情况 下 。 


Docker 让 部 署 以 及 这 些 步 骤 和 宿主 机 的 清理 变 得 开销 很 低 。 为 了 演示 
这 一 点 ， 我 们 将 使 用 Jenkins CI 构建 一 个 测试 流水 线 : 首先 ， 构 建 一 个 
运行 Docker 的 Jenkins 服 务 器 。 为 了 更 有 意思 些 ， 我 们 会 让 Docker 递 归 
地 运行 在 Docker 内 部 。 这 束 和 套 娃 一 样 ! 


EŻ 可 以 在 https:/github.comy/jpetazzo/dind 读 到 更 多 关于 在 Docker 中 运行 Docker 的 细节 。 


一 旦 Jenkins 运 行 起 来 ， 将 展示 最 基础 的 早 容 右 测 试 运行 ， 最 后 将 展示 
多 容 右 的 测试 场景 。 


EZ AT Jenkins, 还 有 许多 其 他 的 持续 集成 工具 ， 包 括 Strider H 和 Drone.io H3 这 种 直接 
利用 Docker 的 工具 ， 这 些 工具 都 是 真正 基于 Docker 的 。 男 外 ，Jenkins 也 提供 了 一 个 插件 ， 这 


ey 


| 


羊 就 可 以 不 用 使 用 我 们 将 要 看 到 的 Docker-in-Docker 这 种 方式 了 。 使 用 Docker 插 件 可 能 更 简 
单 ， 但 我 觉得 使 用 Docker-in-Docker 这 种 方式 很 有 趣 。 


5.3.1 构建 Jenkins 和 Docker 服 务 器 


为 了 提供 一 个 Jenkins 服 务 絮 ， 从 Dockerfile 开始 构建 一 个 安装 了 
Jenkins 和 Docker 的 Ubuntu 14.04 镜 像 。 我 们 先 创建 一 个 jenkins E 
孙 ， 来 存放 构建 所 需 的 所 有 相关 文件 ， 如 代码 清单 5-74 所 示 。 


代码 清单 5-74 ”为 Jenkins 创 建 目录 


N 


$ mkdir jenkins 
$ cd jenkins 


在 jenkins 目录 中 ， 我 们 从 Dockerfile 开 始 ， 如 代码 清单 5-75 所 示 。 


代码 清单 5-75 ”Jenkins 和 Docker 服 务 器 的 Dockerfile 


FROM ubuntu:14.04 


MAINTAINER james@example.com 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get update -qq && apt-get install -qqy curl apt-transport 
-https 

RUN apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 
--recv-keys 58118E89F3A912897C070ADBF76221572C52609D 

RUN echo deb https://apt.dockerproject.org/repo ubuntu-trusty 
main > /etc/apt/sources.list.d/docker.list 

RUN apt-get update -qq && apt-get install -qqy iptables 
cacertificates 

openjdk-7-jdk git-core docker-engine 

ENV JENKINS _ HOME /opt/jenkins/data 

ENV JENKINS MIRROR http://mirrors.jenkins-ci.org 

RUN mkdir -p $JENKINS_HOME/plugins 

RUN curl -sf -o /opt/jenkins/jenkins.war -L 

$JENKINS MIRROR/warstable/ 

latest/jenkins.war 

RUN for plugin in chucknorris greenballs scm-api git-client git 
ws-Cleanup ;\ 

do curl -sf -o $JENKINS_HOME/plugins/${plugin}.hpi \ 

-L $JENKINS_MIRROR/plugins/${plugin}/latest/${plugin}.hpi 

; done 

ADD ./dockerjenkins.sh /usr/local/bin/dockerjenkins.sh 

RUN chmod +x /usr/local/bin/dockerjenkins.sh 

VOLUME /var/1lib/docker 

EXPOSE 8080 


ENTRYPOINT [ "/usr/local/bin/dockerjenkins.sh" ] 


可 以 看 到 ，Dockerfile 447 A ubuntu:14.04 镜像 ， 之 后 做 了 很 
多 事情 。 确 实 ， 这 是 目前 为 止 见 过 的 最 复杂 的 Dockerfile 。 来 看 看 
都 做 了 什么 。 


首先 ， 它 设置 了 Ubuntu 环境 ， 加 入 了 需要 的 Docker APT 仓 库 ， 并 加 入 
了 对 应 的 GPG key。 之 后 更 新 了 包 列 表 ， 并 安装 执行 Docker 和 Jenkins 

。 我们 使 用 与 第 2 章 相 同 的 指令 ， 加 入 了 一 些 Jenkins 需 要 的 
FY (0) 


然后 ， 我 们 创建 了 /opt/jenkins 目录 ， 并 把 最 新 稳定 版 本 的 Jenkins 
下 载 到 这 个 目录 。 还 需要 一 些 Jenkins 插 件 ， 给 Jenkins 提 供 额外 的 功能 
(比如 支持 Git 版 本 控制 ) 


我 们 还 使 用 ENV 指令 把 JENKINS_HOME 和 JENKINS_MIRROR 环境 变 
量 设置 为 Jenkins 的 数据 目录 和 和 镜像 站 点 。 


然后 我 们 指定 了 VOLUME 指令 。 还 记得 吧 ，VOLUME 指令 从 容器 运行 
的 答 主 机 上 挂 载 一 个 卷 。 在 这 里 ， 为 了 “ 骗 过 ”Docker， 指 

定 /var/1ib/docker 作为 卷 。 这 是 因为 /var/1ib/docker Axe 
Docker 用 来 存储 其 容 絮 的 目录 。 这 个 位 置 必 须 是 真实 的 文件 系统 ， 而 
不 能 是 像 Docker 镜 像 层 那 种 挂 载 点 。 


那么 ， 我 们 使 用 VOLUME 指令 告诉 Docker 进 程 ， 在 容器 运行 内 部 使 用 
答 主 机 的 文件 系统 作为 容 恬 的 存储 。 这 样 ， 容 絮 内 骸 Docker 

的 /var/1ib/docker 目录 将 保存 在 宿主 机 系统 

的 /var/lib/docker/volumes 目录 下 的 某 个 位 置 。 


我 们 已 经 公开 了 Jenkins 默 认 的 8080 端口 。 


最 后 ， 我 们 指定 了 一 个 要 运行 的 shell 脚 本 (可 以 在 
http://dockerbook.com/code/5/jenkins/ dockerjenkins.sh 找到 ) 作为 容器 
的 启动 命令 。 这 个 shell 脚 本 (由 ENTRYPOINT 指令 指定 ) 帮助 在 宿主 
机 上 配置 Docker， 人 允许 在 Docker 里 运行 Docker， 开 启 Docker 守 护 进 
程 ， 并且 启动 Jenkins。 在 https://github.com/jpetazzo/dind 可 以 看 到 更 多 
关于 为 什么 需要 一 个 shell 脚 本 来 允许 Docker 中 运行 Docker 的 信息 。 


现在 让 我 们 来 获取 这 个 shell 脚 本 。 我 们 继续 在 jenkins 目录 下 工作 ， 
刚刚 我 们 在 这 个 目录 下 创建 了 Dockerfile 文件 ， 如 代码 清单 5-76 所 
ZN e 


代码 清单 5-76 获取 dockerjenkins .sh 脚本 


$ cd jenkins 
$ wget https://raw.githubusercontent.com/jamtur01/dockerbook-code 


/master/code/5/jenkins/dockerjenkins.sh 
$ chmod 0755 dockerjenkins.sh 


5 时 这 个 Dockerfile 和 shell 脚 本 作为 本 书 代 码 的 一 部 分 ， 可 以 在 本 书 官 网 44] 或 者 
GitHub 仓 库 ll 找到 。 


已 经 有 了 Dockerfile ， 用 docker build 命令 来 构建 一 个 新 的 镜 
像 ， 如 代码 清单 5-77 所 示 。 


代码 清单 5-77 构建 Docker-Jenkins 镜 像 


$ sudo docker build -t jamtur01/dockerjenkins. 


我 们 非常 没 创意 地 把 新 的 镜像 命名 为 jamtur01/dockerjenkins 。 
现在 可 以 使 用 docker run 命令 从 这 个 镜像 创建 容器 了 ， 如 代码 清单 
5-78 所 示 。 


代码 清单 5-78 ”运行 Docker-Jenkins 镜 像 


$ sudo docker run -p 8080:8080 --name jenkins --privileged \ 
-d jamtur01/dockerjenkins 


190f5c6333576f017257b3348cf64dfcd370ac10721c1150986abidb3e3221Ff F8 


可 以 看 到 ， 这 里 使 用 了 一 个 新 标志 - -privileged XZT ° -- 
privileged 标志 很 特别 ， 可 以 局 动 Docker 的 特权 模式 ， 这 种 模式 允 
许 我 们 以 其 和 福 主 机 具有 的 (几乎 所 有 能 力 来 运行 容 右 ， 包 括 一 些 内 
ee 问 。 这 是 让 我 们 可 以 在 Docker 中 运行 Docker 必 要 的 魔 
y o 


让 Docker 运 行 在 - -privileged 特权 模式 会 有 一 些 安全 风险 。 在 这 种 模式 下 运行 容器 对 
Docker 宿 主机 拥有 root 访问 权限 。 确 保 已 经 对 Docker 宿 主机 进行 了 恰当 的 安全 保护 ， 并 且 
只 在 确实 可 信 的 域 里 使 用 特权 访问 Docker 宿 主机 ， 或 者 仅 在 有 类 似 信任 的 情况 下 运行 容器 。 


还 可 以 看 到 我 们 使 用 了 - p 标志 在 本 地 和 宿主 机 的 8080 端口 上 公开 
8080 端口 。 一 般 来 说 ， 这 不 是 一 种 好 的 做 法 ， 不 过 足以 让 一 合 
Jenkins 服 务 器 运行 起 来 。 


可 以 看 到 新 容 馈 jenkins 已 经 启动 了 。 我 们 可 以 查看 一 下 启动 后 的 日 
志 ， 如 代码 清单 5-79 所 示 。 


S 


代码 清单 5-79 检查 Docker Jenkins 容 器 的 日 志 


$ sudo docker logs jenkins 

Running from: /opt/jenkins/jenkins.war 

webroot: EnvVars.masterEnvVars.get("JENKINS HOME") 
Sep 8, 2013 12:53:01 AM winstone.Logger logInternal 
INFO: Beginning extraction from war file 


INFO: HTTP Listener started: port=8080 


要 么 不 断 地 检查 日 志 ， 要 么 使 用 -f 标志 运行 docker logs 命令 , 直 
到 看 到 与 代码 清单 5-80 所 示 类 似 的 消息 。 


代码 清单 5-80 ”检查 Jenkins 的 启动 和 执行 


INFO: Jenkins is fully up and running 


ee 现在 Jenkins 服 务 器 应 该 可 以 通过 8080 端口 在 浏览 器 中 访问 
， 就 像 图 5-3 所 示 的 这 样 。 


@ Jenkins C 


篇 New item (Wack! description 


& Peopie Welcome to Jenkins! 


T Build History 
7. Manage Jenkins Ploase Create New jobs to get started 


A Credentials 


Build Queue 


Build Executor Status 


图 5-3 ”浏览 Jenkins 服 务 器 
5.3.2 ”创建 新 的 Jenkins 作 业 


现在 Jenkins 服 务 句 已 经 运行 ， 让 我 们 来 创建 一 个 Jenkin 作 业 吧 。 单 击 
create new jobs (创建 新 作业 ) 链接 ， 打 开 了 创建 新 作业 的 癌 
导 ， 如 图 5-4 所 示 。 


把 新 作业 命名 为 Docker_test_job ， 选 择 作 业 类 型 为 Freestyle 
project ， 并 单 击 OK 继续 到 下 一 个 页 面 。 


@ Jenkins CC 


E New item itom name [ ] 

& People Freestyle project 

T> Build History This is the 人 bulk y rn ny SCM ” 
eve 

7. Manage Jenkins Maven project 

a Credentials Build a maven project. Jenkins takes advantage of your POM files and drastically roduces the configuration. 

External Jod 
This type of job allows you to record the execution of a process run outside Jenikins, even on a remote machine, This is 
Build Queve designec t you can use Jenkins as a dashboard of your existing automation system. See the doqumentation for more 

Getat 


Multi-contiguration project 
3 ible for projects that need a large number of dierent configurations, such as testing on multiplo envirorenents, platform 
Bulld Executor Status > p . 


Suitable for pro 
specific builds, etc. 


图 5-4 创建 新 的 Jenkins 作 业 


现在 把 这 些 区 域 都 填 好 。 移 填 好 作业 撒 述 ， 然 后 单 击 Advanced 

Project Options (高 级 项 目 选 项 ) 下 面 的 Advanced... (高 
级 ) 按钮 ， 单 击 Use Custom workspace (使 用 自 定义 工作 空间 ) 
的 单 选 按钮 ， 并 指定 /tmp/jenkins-buildenv/${JOB_NAME}/ 


workspace 作为 Directory (目录 ) 。 这 个 目录 是 运行 Jenkins 的 工 
作 空 间 。 


在 Source Code Management ( 源 代码 管理 ) 区 域 里 ， 选 择 Git 并 
指定 测试 仓库 https:/ github.com/jamtur01/docker-jenkins-sample.git ° 
5-5 所 示 是 一 个 简单 的 仓库 ， 它 包含 了 一 些 基 于 Ruby 的 RSpec 测 试 。 


@ Jenkins 


会 Back to Dashboard Projeci name Docker_test_job 
Status Description 
> Changes 


WW Workspace 


A Build Now [Escaped HTML] Preview 
© Delete Project Discard OW Buikis 入 
g Configure This bulid is parameterized 机 
D B Ne b be executed d © 
了 Build History trend 一 Execute concurrent builds i! necessary © 

ASS al C) ASS tor fales Advanced Project Options 

Quiet period * 
Re unt ®© 
whe v 


图 5-5 ”Jenkins 作 业 细 节 1 


现在 往 下 深 动 页 面 ， 更 新 男 外 一 些 区 域 。 首 先 ， 单 击 Add Build 
Step 〈 增 加 构建 步骤 ) 按钮 增加 一 个 构建 的 步 又， 选择 Execute 
shell (执行 shell 脚 本 ) 。 之 后 使 用 定义 的 脚本 来 启动 测试 和 
Docker， 如 代码 清单 5-81 所 示 。 


代码 清单 5-81 用 于 Jenkins 作 业 的 Docker shell 脚 本 


# 构建 用 于 此 作业 的 镜像 


IMAGE=$(docker build . | tail -1 | awk '{ print SNF }') 

# 构建 挂 载 到 Docker 的 目录 

MNT="$WORKSPACE/.." 

# 在 Docker 里 执行 编译 测试 

CONTAINER=$ (docker run -d -v "$MNT:/opt/project" $IMAGE /bin/bash 
-c 'cd /opt/project/workspace && rake spec') 

# 进入 容器 ， 这 样 可 以 看 到 输出 的 内 容 
docker attach $CONTAINER 


# 等 待 程序 退出 ， 得 到 返回 码 
RC=$(docker wait $CONTAINER) 
# 删除 刚刚 用 到 的 容器 

docker rm $CONTAINER 


# 使 用 刚才 的 返回 码 退 出 整个 脚本 


这 个 脚本 都 做 了 什么 呢 ? 首 先 ， 它 将 使 用 包含 刚刚 指定 的 Git 仓 库 的 
Dockerfile 创建 一 个 新 的 Docker 镑 像 。 这 个 Dockerfile 提供 了 想 
要 执行 的 测试 环境 。 让 我 们 来 看 一 下 这 个 Dockerfile ， 如 代码 清单 
5-82 所 示 。 


代码 清单 5-82 ”用 于 测试 作业 的 Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-06-01 

RUN apt-get update 


RUN apt-get -y install ruby rake 
RUN gem install --no-rdoc --no-ri rspec ci_reporter_rspec 


EZ 如 果 用 户 的 测试 依赖 或 者 需要 别 的 包 ， 只 需要 根据 新 的 需求 更 新 Dockerfile ， 然 后 
在 运行 测试 时 会 重新 构建 镜像 。 


可 以 看 到 ，Dockerfile 构建 了 一 个 Ubuntu 镶 主机， 安 锋 了 Ruby 和 和 
RubyGems， 之 后 安装 了 两 个 gem: rspec 和 ci_reporter_rspec 
© 这样 构 建 的 镜像 可 以 用 于 测试 典型 的 基于 Ruby 且 使 用 RSpec 测 试 框 
架 的 应 用 程序 。ci_reporter_rspec gem 会 把 RSpec 的 输出 转换 为 
并 交 给 Jenkins 做 解析 。 一 会 儿 束 能 看 到 这 个 转 


回 到 之 前 的 脚本 。 从 Dockerfile 构建 镜像 。 接 下 来 ， 创 建 一 个 包含 
Jenkins 工 作 空 间 (就 是 签 出 Git 仓 库 的 地 方 ， 的 目录 ， 会 把 这 个 目录 挂 
载 到 Docker 容 右 ， 并 在 这 个 目录 里 执行 测试 。 


然后 ， 我 们 从 这 个 镜像 创建 了 容器 ， 并 且 运 行 了 测试 。 在 容器 里 ， 把 
工作 空间 挂 载 到 /opt/project 目录 。 之 后 执行 命令 切换 到 这 个 目 
孙 ， 并 执行 rake spec 来 运行 RSpec 测 试 。 


现在 容 右 局 动 了 ， 我 们 拿 到 了 容器 的 ID。 


EN Docker ZEA A AEN SCF - -cidfile 选项 ， 这 个 选项 会 让 Docker 截 获 容器 ID 并 将 其 
| 存 到 - -cidfile 选项 指定 的 文件 里 ， 如 - -cidfile=/tmp/containerid.txt ° 


现在 使 用 docker attach 命令 进入 容器 ， 得 到 容器 执行 时 输出 的 内 
容 ， 然 后 使 用 docker wait MS ° docker wait 命令 会 一 直 阻 
塞 ， 直 到 容器 里 的 命令 执行 完成 才 会 返回 容器 退出 时 的 返回 码 。 变 量 
RC 捕捉 到 容器 退出 时 的 返回 码 。 


最 后 ， 消 理 环境 ， 删 除 刚 刚 创建 的 容器 ， 并 使 用 容 右 的 返回 码 退 出 。 
这 个 返回 码 应 该 束 是 测试 执行 结果 的 返回 码 。Jenkins 依 赖 这 个 返回 码 
得 知 作 业 的 测试 结 采 是 成 功 还 是 失败 。 


接 下 来 ， 单 击 Add post-build action (加 入 构建 后 的 动作 ) ， 
加 入 一 个 Publish JUint test result report (公布 JUint 测 
试 结果 报告 ) 的 动作 。 在 Test report XML``s (测试 报告 的 XML 
文件 ) th, 需要 指定 spec/reports/* ,xml 。 这 个 目录 是 
ci_reporter gem 的 XML 输出 的 位 置 ， 找 到 这 个 目录 会 让 Jenkins 处 
理 测试 的 历史 结果 和 输出 结果 。 


最 后 ， 必 须 单 击 Save 按钮 保存 新 的 作业 ， 如 图 5-6 所 示 。 


0 


Add buld step v 
Post-bulld Actions 


Publish JUnit test result report ®© 


Test report XMLs ance Seal 


Elert chides’ soning Pat species the generated res XML repon fies, such as Ynyprojecthanpestest-reporis/* amf. Based of pa Neset is the sarace 


es ~ 


图 5-6 ”Jenkins 作 业 细 节 2 


5.3.3 ”运行 Jenkins 作 业 


现在 我 们 来 运行 Jenkins 作 业 。 单 击 Build Now (现在 构建 ) 按钮 ， 
就 会 看 到 有 个 作业 出 现在 Build History (构建 历史 ) 方 框 里 ， 如 
图 5-7 所 示 。 


® Jenkins Cs 
会 Back to Dashboard Project Docker_test_job 

= Faga description 
<n | ene rte 
E Workspace 
©) Build Now (ay Workspace 


© Delete Project 


7. Contigure A Recent Changes 


了 Bulid History trend Permalinks 


E ASS for all C) BSS for tauros 


图 5-7 ”运行 Jenkins 作 业 


久 漳 第 一 次 运行 测试 时 ， 可 能 会 因为 构建 新 的 镜像 而 等 待 较 长 一 pmi s 但 是 ， 下 次 运行 
测试 时 ， 因 为 Docker 已 经 准 备 好 了 镜像 执行 速度 就 会 比 第 一 次 快 多 


单 击 这 个 作业 ， 看 看 正在 执行 的 测试 运行 的 详细 信息 ， 如 图 5-8 所 示 。 


®@ Jenkins 


Back to Project 了 es Ss 7 soc ano 
ENA Build #1 (Jun 6, 2015 roo ga 
Status Buiki has been executing for 47 sex 
T Changes 1:59:24 PM) 
国 Console Output (Back description 


Edit Build information 


> Git Build Data 
园 No Tags 


dt 


图 5-8 Jenkins/F LAY 


单 击 Console Output (控制 台 输 出 ) ， 查 看 测试 作业 已 经 执行 的 
命令 ， 如 图 5-9 所 示 。 
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图 5-9 Jenkins 作 业 的 控制 台 输 出 


可 以 看 到 ，Jenkins 正 在 将 Git 仓 库 下 载 到 工作 空间 。 然 后 会 执行 shel] 脚 
本 并 使 用 docker build 构建 Docker 镜 像 。 然 后 我 们 捕获 镜像 的 ID 
并 用 docker run 创建 一 个 新 容器 。 正 在 运行 的 这 个 新 容器 内 会 执行 
RSpec 测 斌 并且 捕获 测试 结果 和 返回 码 。 如 果 这 个 作业 使 用 返回 码 9 退 
出 ， 这 个 作业 就 会 被 标识 为 测试 成 功 。 


单 击 Test Result (测试 结果 ) 链接 ， 可 以 看 到 详细 的 测试 报告 。 
这 个 报告 是 从 测试 的 RSpec 结 果 转 换 为 JUnit 格 式 后 得 到 的 。 这 个 转换 
由 ci_reporter gem 完 成 ， 并 在 “构建 后 的 步骤 ”里 被 捕获 。 


5.3.4 与 Jenkins 作 业 有 关 的 下 一 步 


可 以 通过 启用 SCM 轮 询 ， 让 Jenkins 作 业 自 动 执行 。 它 会 会 在 有 新 的 改动 
签 入 Git 仓 库 后 ， 触 发 自动 构建 。 类 似 的 目 动 化 还 可 以 通过 提交 后 的 钧 
子 或 者 GitHub 或 者 Bitbucket 仓 库 的 钧 子 来 完成 。 


5.3.5 ”Jenkins 设 置 小 结 


到 现在 为 止 ， 我们 已 经 做 了 不 少 事情 ， 安 闭 并 运行 了 Jenkins， 创 建 了 
第 一 个 作业 。 这 个 Jenkins 作 业 使 用 Docker 创 建 了 一 个 镜像 ， 而 这 个 镜 


像 使 用 仓库 里 的 Dockerfile 管理 和 更 新 。 这 种 情况 下 ， 不 但 架构 配 
置 和 代码 可 以 同步 更 新 ， 管 理 配置 的 过 程 也 变 得 很 简单 。 然 后 我 们 通 
过 镜像 创建 了 运行 测试 的 容器 。 测 试 完成 后 ， 可 以 丢弃 这 个 容器 。 整 
个 测试 过 程 轻 量 日 快速 。 将 这 个 例子 适 配 到 其 他 不 同 的 测试 平台 或 者 
其 他 语言 的 测试 框架 也 很 容易 。 


Et 以 使 用 参数 化 构建 016] 来 让 作业 和 shell 脚 本 更 加 通用 ， 方 便 应 用 至 


5.4 ”多 配置 的 Jenkins 


之 前 我 们 已 经 见 过 使 用 Jenkins 构 建 的 简单 的 单个 容器 。 如 果 要 测试 的 
应 用 依赖 多 个 平台 怎么 办 ? 假设 要 在 Ubuntu、Debian 和 CentOS 上 测试 
这 个 程序 。 要 在 多 平台 测试 ， 可 以 利用 Jenkins 里 叫 “ 多 配置 作业 ”的 作 
业 类 型 的 特性 。 多 配置 作业 允许 运行 一 系列 的 测试 作业 。 当 Jenkins 多 
配置 作业 运行 时 ， 会 运行 多 个 配置 不 同 的 子 作 业 。 


5.4.1 创建 多 配置 作业 


现在 来 创建 一 个 新 的 多 配置 作业 。 从 Jenkins 控 制 台 里 单 击 New Item 

(新 项 目 ) ， 将 新 作业 命名 为 Docker_matrix_job , #f&Multi- 
configuration project (创建 多 配置 项 目 ) ， 并 单 击 0K 按 钮 ， 
如 图 5-10 所 示 ° 
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External Job 
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ts 
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图 5-10 ”创建 多 配置 作业 


这 个 页 面 与 之 前 看 到 的 创建 作业 时 的 页 面 非常 类 似 。 给 作业 加 上 描 
述 ， 选 择 Git 作 为 仓库 类 型 ， 并 指定 之 前 那个 示例 应 用 的 仓库 : 
https://github.com/jamtur01/docker-jenkins-sample. git ° 具体 如 图 5-11 所 
ZR œ 
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图 5-11 设置 多 配置 作业 1 


接 下 来 ， 向 下 滚动 ， 开 始 设 置 多 配置 的 维度 (axis) 。 维 度 是 指 作 为 
作业 的 一 部 分 执行 的 一 系列 元 素 。 单 击 Add Axis (添加 维度 ) f% 
钮 ， 并 选择 User-defined Axis (用 户 自 定义 维度 ) 。 指 定 这 个 维 
度 的 名 字 为 0S (OS 是 Operating System 的 缩写 ) ， 并 设置 3 个 值 ， 即 
centos ` debian 和 ubuntu。 当 执行 多 配置 作业 时 ，Jenkins 会 查 
找 这 个 维度 ， 并 生成 3 个 作业 : 维度 上 的 每 个 值 对 应 一 个 作业 。 


还 要 注意 ， 在 Build Environment (构建 环境 ) 部 分 我 们 单 击 了 
Delete workspace before build starts (构建 前 删除 工作 
空间 ) 。 这 个 选项 会 在 一 系列 新 作业 初始 化 之 前 ， 通 过 删除 已 经 签 出 
的 仓库 ， 清 理 构建 环境 。 具 体 如 图 5-12 所 示 。 


Build periodically 
Poll SCM 
Configuration Matrix 


User-defined Axis 
Name os 


Values | cantos debian ubuntu 


Add axis + 
Combination Fitter 
Run each configuration sequentially 
Execute touchstone builds first 
Build Environment 
© Delote workspace before buid starts 
Advanced. 


Build 


Execute shell 
Command [7 Delete the 


container we've just used 
docker rm $CONTAINER 


# Exit with the same value as that with which the process exited. 


= ~ 
图 5-12 ”设置 多 配置 作业 2 
最 后 ， 我 们 通过 一 个 简单 的 shell 脚 本 指定 了 另 一 个 shell 构 建 步 骤 。 这 


B3ATAN ° 


rt 


代码 清单 5-83 ”Jenkins 多 配置 shell 脚 本 


# 构建 此 次 运行 需要 的 镜像 

cd $0S && IMAGE=$(docker build . | tail -1 | awk '{ print $NF }') 
# 构建 挂 载 到 Docker 的 目录 

MNT="$WORKSPACE/.." 
# 在 Docker 内 执行 构建 过 程 

CONTAINER=$(docker run -d -v "$MNT:/opt/project" $IMAGE /bin/bash 
-c "cd/opt/project/$0S && rake spec") 

# 进入 容器 ， 以 便 可 以 看 到 输出 的 内 容 
docker attach $CONTAINER 

# 进程 退出 后 ， 得 到 返回 值 
RC=$(docker wait $CONTAINER) 
# 删除 刚刚 使 用 的 容器 
docker rm $CONTAINER 
# 使 用 刚才 的 返回 值 退 出 脚 了 
exit $RC 


来 看 看 这 个 脚本 有 哪些 改动 : 每 次 执行 作业 都 会 进入 不 同 的 以 操作 系 
统 为 名 的 目录 。 在 我 们 的 测试 仓库 里 有 3 个 日 录 : centos + debian 
和 ubuntu 。 每 个 目录 里 的 Dockerfile 都 不 同 ， 分 别 包 含 构建 
CentOS、Debian 和 Ubuntu 镜像 的 指令 。 这 意味 着 每 个 被 启动 的 作业 都 
会 进入 对 应 的 日 录 ， 构 建 对 应 的 操作 系统 的 镜像 ， 安 装 相应 的 环境 需 
求 ， 并 启动 基于 这 个 镜像 的 容器 ， 最 后 在 容 絮 里 运行 测试 。 


我 们 来 看 这 些 新 的 Dockerfile 中 的 一 个 ， 如 代码 清单 5-84 所 示 。 


代码 清单 5-84 基于 CentOS 的 Dockerfile 


FROM centos:latest 
MAINTAINER James Turnbull "james@example.com" 
ENV REFRESHED_AT 2014-06-01 


RUN yum -y install ruby rubygems rubygem-rake 
RUN gem install --no-rdoc --no-ri rspec ci_reporter_rspec 


这 是 一 个 基于 以 前 的 作业 针对 CentOS 修 改过 的 Dockerfile 。 这 个 
Dockerfile 和 之 前 做 的 事情 一 样 ， 只 是 改 为 使 用 适合 CentOS 的 命 
令 ， 比 如 使 用 yum 来 安装 包 。 


加 入 一 个 构建 后 的 动作 Publish JUnit test result report 
(发 布 JUnit 测 斌 结果) 并 指定 XML 输出 的 位 置 为 
spec/reports/*.xml。 这 样 可 以 检查 测试 输出 的 结果 。 


最 后 ， 单 击 Save 来 创建 新 作业 ， 并 你 存 配置 。 
现在 可 以 看 到 刚刚 创建 的 作业 ， 并 且 注 意 到 这 个 作业 包含 一 个 叫 作 


Configurations (配置 ) WKE, 包含 了 该 作业 的 各 维度 上 每 个 
元 素 的 子 作业 ， 如 图 5-13 所 示 。 
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图 5-13 ”Jenkins 多 配置 作业 


5.4.2 ”测试 多 配置 作业 


现在 我 们 来 测试 这 个 新 作业 。 单 击 Build Now 按钮 启动 多 配置 作 
业 。 当 Jenkins 开 始 运 行 时 ， 会 先 创建 一 个 主 作业 。 之 后 ， 这 个 主 作业 
oo 每 个 子 作 业 会 使 用 选 定 的 3 个 平台 中 的 一 个 来 执行 
mija; 


EFS FZ APE LE, BETEA te ig Be E REA ER e — E 
镜像 构建 好 后 ， 下 一 次 运行 就 会 快 很 多 。 Docker 只 会 在 更 新 了 Dockerfile 之 后 修改 镜 
Re 


可 以 看 到 ， 主 作业 会 先 执行 ， 然 后 执行 每 个 子 作业 。 其 中 新 的 
centos 子 作 业 的 输出 如 图 5-14 所 示 。 


@ Jenkins ke 
Jenkins Docker matrix job contos EMAA AUTO NEAN 
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Changes 
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图 5-14 ”centos 子 作业 


可 以 看 到 ，centos 作业 已 经 执行 了 : 绿 球 图 标 表 示 这 个 测试 执行 成 
功 。 可 以 更 深入 地 看 一 下 执行 细节 。 单 击 Build History 里 第 一 个 
条 ， 如 图 5-15 所 示 。 


®@ Jenkin 
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Status 
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=” Edit Build Information 一 -一 
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N Ga Build Data 
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C Test Result © git 
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E] Test Result (no faiures) 


图 5-15 ”centos 子 作业 细节 


在 这 里 可 以 看 到 更 多 centos 作业 的 执行 细节 。 可 以 看 到 这 个 作业 
Started by upstream project Docker_matrix_job ， 构 建 
编写 为 1° 要 看 执行 时 的 精确 细 方 ， 可 以 单 击 Console Output 链接 
来 查看 控制 台 的 输出 内 容 ， 具 体 如 图 5-16 所 示 。 


Jonkins Docker matrix cb cemos LA] 


$È Back to Project Q Console Output 


y Status 
T> Changes Started by upstream project “Docker natrix job” build number 1 
originally caused by: 
E Console Output Started by user anonynous 


Building in workspace /opt/jenkins/data/workspace/Docker_matrix_job/0S/centos 
View as plain text 


en Deleting project workspace... Cloning the remote Cit repository 

Edit Build Information Cloning repository httpsi//github.com/jamtur0l /docker-jenking-sample,git 
> git init /opt/jenkins/data/workspece/Docker_matrix_job/OS/centos # timeout+10 

© Delete Buid Yetching upstream changes from httpsi//cithub. com/ jomtur0i/docker-jenkins-semple.git 
> git --version # timeout=10 

} Git Build Data > git -c core.askpasa=true fetch --tags --progress httpe://github,com/jamtur0l /docker-jenking- 
somple.git +refs/heads/*:refs/remotes/origin/* 

回 No Tags > git config remote.origin.url httpar//githyubh.con/ innt ordi/dooker- ionkine-sanmpio. git # timeout=i0 
> git config --add remote,origin.fetch +refs/heads/*:refs/remotes/origin/* # timeout~10 

w) Test Result > git config resote.origin.url bitoe://github.com/ jamturdl/decker-jenkins-saaple.cit # timecat=10 


Petching upstreas changes from hitpa://github,.com/jamtur0l /docker-jenking-sample.git 

> git -c core.askpass*true fetch =-tags --progress httpe://github,com/jamtur0l/docker-jenking- 
sample.git +refs/heads/*:refs/remotes/origin/* 

Checking out Revision e4830a7c4al 7b26i4ace8 
> git config core.sparsecheckout # timecut=10 

> git checkout -f 04630a7c4a17b2614a008c1580cd5da434c4412c 
Pirst time build. Skipping changelog. 

{centos} $ /bin/sh -xe /tmp/hadsoné415055340850084543.5h 

cd centos 

awk { prist Sur } 

tail -1 

docker build . 

IMAGE"8£429037526a 

MNT+/opt/jenkins/data/workspace/Docker_ matrix jo /contos/.. 
+ doc run -d /opt/ fenkina/data/workspace/Docker_satrix job/ 
8£429¢37526a /bin/bash -¢ cd /opt/project/centos 66 rake spec 

+ CONTAINER=5d643444bd4316a2a7e5dd19ab3f190balad3e2188e3b140704601£8007975ace 

+ docker attach 5d843444bd4316a2a7e5dd19ab3£f90baladje2168e03b140704601 1800797500 
ra -rf spec/reports 

/usr/bin/ruby -At 
support-3.2.2/1ib /usr/local; 


图 5-16 ”centos 子 作业 的 控制 台 输出 


可 以 看 到 ， 这 个 作业 复制 了 仓库 ,构建 了 需要 的 Docker 镜 像 ， 从 镜像 
启动 了 容器 ， 最 后 运行 了 所 有 的 测试 。 所 有 测试 都 成 功 了 (如 果 有 和 需 
要 ， 可 以 单 击 Test Result 链接 来 检查 测试 上 传 的 JUnit 结 果 ) 。 


#eocd5da434C4412c (refs/remotes/origin/master) 


centos/..:/opt/project 


/rapec- 
apec.rb =-= 


£/ local /share/gens/gees/repec-core-3.2.3/Lib:/usr/local/share/gena/ 
/ahare/gens/gens/rspec-core-3.2.3/exe/rapec --pattern spec 
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5.4.3 ”Jenkins 多 配置 作业 小 结 


这 些 例子 展示 了 在 Jenkins 持 续集 成 中 使 用 Docker 的 简单 实现 。 读 者 可 
以 对 这 些 例子 进行 扩展 ， 加 入 从 自动 化 触发 构建 到 包含 多 平台 、 多 架 
构 、 多 版 本 的 多 级 作业 矩阵 等 功能 。 那 个 简单 的 构建 脚本 也 可 以 写 得 
更 加 严谨 ， 或 者 支持 执行 多 个 容器 (比如 ， 为 网 页 、 数 据 库 和 应 用 程 
序 层 提供 分 离 的 容器 ， 以 模拟 更 加 真实 的 多 层 生产 环境 ) 。 


5.5 ”其 他 选择 
在 Docker 的 生态 环境 中 ， 持 续集 成 和 持续 部 署 (CL/CD) 是 很 有 意思 


的 一 部 分 。 除 了 与 现 有 的 Jenkins 这 种 工具 集成 ， 也 有 很 多 人 和 直接 使 用 
Docker 来 构建 这 类 工具 。 


5.5.1 Drone 


Drone 是 著名 的 基于 Docker 开 发 的 CV/CD 工 具 之 一 。 它 是 一 个 SaaS 持 续 
集成 平台 ， 可 以 与 GitHub、Bitbucket 和 Google Code 仓 库 关 联 ， 支 持 各 
种 语言 ， 包 括 Python、Node.js、Ruby、Go 等 。Drone 在 一 个 Docker 容 

器 内 运行 加 到 其 中 的 仓库 的 测试 集 。 


5.5.2 Shippable 


Shippable 是 免费 的 持续 集成 和 部 署 服务 ， 基 于 GitHub 和 Bitbucket。 它 
非常 快 ， 也 很 轻 量 ， 原 生 支 持 Docker 。 


5.6 小结 


本 章 演 示 了 如 何在 开发 和 测试 流程 中 使 用 Docker。 我 们 看 到 如 何在 本 
地 工作 站 或 者 虚拟 机 里 以 一 个 开发 者 为 中 心 使 用 Docker 做 测试 ， 也 探 
讨 了 如 何 使 用 Jenkins CI 这 种 持续 集成 工具 配合 Docker 进 行 可 扩展 的 测 
试 。 我 们 已 经 了 解 了 如 何 使 用 Docker 构 建 单 功能 的 测试 ， 以 及 如 何 构 
建 分 布 式 矩阵 作业 。 


下 一 章 我 们 将 开始 了 解 如 何 使 用 Docker 在 生产 环境 中 提供 


D 


antl, > Bl 


堆 释 、 可 扩展 的 弹性 服务 。 


[1] 
[2] 
[3] 
[4] 


http://www.dockerbook.com/code/index.html 
https://github.com/jamtur01/dockerbook-code 
http://dockerbook.com/code/5/website/ 


https://github.com/jamtur01/dockerbook- 


code/tree/master/code/5/website 


[5] 
[6] 
[7] 
[8] 


http://dockerbook.com/code/5/sinatra/webapp/ 
https://github.com/jamtur01/dockerbook-code 
https://docs.docker.com/articles/networking/ 


https://docs.docker.com/engine/userguide/networking/get-started- 


overlay/ 


[9] 

[10] 
[11] 
[12] 
[13] 
[14] 
[15] 


[16] 


https://github.com/jamtur01/dockerbook-code 
http://docs.docker.com/engine/userguide/networking/ 
http://en.wikipedia.org/wiki/Continuous_integration 
http://stridercd.com/ 
https://drone.io/ 
http://dockerbook.com/code/5/jenkins 
https://github.com/jamtur0 1/dockerbook-code 


https://wiki.jenkins-ci.org/display/JENKINS/Parameterized+ Build 
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第 5 章 介 绍 了 如 何 利 用 Docker 来 使 用 容器 在 本 地 开发 工作 流 和 持续 集成 
环境 中 方便 快捷 地 进行 测试 。 本 章 继 续 探 索 如 何 利用 Docker 来 运行 生 
产 环 境 的 服务 。 


本 章 首 先 会 构建 简单 的 应 用 ， 然 后 会 构建 一 个 更 复杂 的 多 容器 应 用 。 
这 些 应 用 会 展示 ， 如 何 利用 链接 和 卷 之 类 的 Docker 特 性 来 组 合并 管理 
运行 于 Docker 中 的 应 用 。 


6.1 构建 第 一 个 应 用 


要 构建 的 第 一 个 应 用 是 使 用 Jekyll 框架 H 的 自 定义 网 站 。 我 们 会 构建 
以 下 两 个 镜像 。 


。 ae Jekyll 及 其 他 用 于 构建 Jekyll 网 站 的 必要 的 软件 
。 一 个 镜像 通过 Apache 来 让 Jekyll 网 站 工作 起 来 。 


我 们 打算 在 局 动容 右 时 ， 通 过 创建 一 个 新 的 Jekyll 网 站 来 实现 目 服 务 。 
工作 流程 如 下 。 


。 创建 Jekyll 基 础 镜像 和 Apache 镜 像 (只 需要 构建 一 次 ) 。 

。 ee Tee 这 个 容 右 存放 通过 卷 挂 载 的 网 站 源 代 

e 从 Apache 镜 像 创建 一 个 容 郁 ， 这 个 容 秀 利用 包含 编译 后 的 网 站 的 
着 ， 并 为 其 服务 。 

。 在 网 站 需要 更 新 时 ， 清 理 并 重复 上 面 的 步骤 。 


可 以 把 这 个 例子 看 作 坪 创建 一 个 多 主机 站 点 最 简单 的 方法 。 实 现 很 简 
单 ， 本 章 后 半 部 分 会 以 这 个 例子 为 基础 做 更 多 扩展 。 


6.1.1 Jekyll 基 础 镜像 


让 我 们 开始 为 第 一 个 镜像 〈Jekyll 基 础 镜像 ) 创建 Dockerfile °| R 
们 先 创建 一 个 新 目录 和 一 个 空 的 Dockerfile ， 如 代码 清单 6-1 所 
JIN œ 


代码 清单 6-1 创建 Jekyll Dockerfile 


$ mkdir jekyll 
$ cd jekyll 


$ vi Dockerfile 


现在 我 们 来 看 看 Dockerfile 文件 的 内 容 ， 如 代码 清单 6-2 所 示 。 


代码 清单 6-2 Jekyll Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install ruby ruby-dev make nodejs 
RUN gem install --no-rdoc --no-ri jekyll -v 2.5.3 


VOLUME /data 

VOLUME /var/www/html 

WORKDIR /data 

ENTRYPOINT [ "jekyll", "build", "--destination=/var/www/html" | 


这 个 Dockerfile 使 用 了 第 3 章 里 的 模板 作为 基础 。 镜 像 基 于 Ubuntu 
14.04， 并 且 安 装 了 Ruby 和 用 于 支持 Jekyll 的 包 。 然 后 我 们 使 用 VOLUME 
指令 创建 了 以 下 两 个 卷 。 


e /data/ ， 用 来 存放 网 站 的 源 代码 。 
e /var/www/htm1/ ， 用 来 存放 编译 后 的 Jekyl 网 站 码 。 


然后 我 们 需要 将 工作 目录 设置 到 /data/ ， 并 通过 ENTRYPOINT 指令 


指定 目 动 构建 的 命令 ， 这 个 命令 会 将 工作 目录 /data/ 中 的 所 有 的 
Jekyll 网 站 代码 构建 到 /var/www/html/ 目录 中 。 


6.1.2 构建 Jekyll 基 础 镜像 


通过 这 个 Dockerfile ， 可 以 使 用 docker build 命令 构建 出 可 以 
启动 容器 的 镜像 ， 如 代码 清单 6-3 所 示 。 


代码 清单 6-3 ”构建 Jekyll 镜 像 


$ sudo docker build -t jamtur01/jekyll . 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step 0 : FROM ubuntu:14.04 
---> 99ec81b80c55 
Step 1 : MAINTAINER James Turnbull <james@example.com> 


Step 7 : ENTRYPOINT [ "jekyll", "build" "-- 
destination=/var/www/html" | 

---> Running in 542e2de2029d 

---> 79009691fF408 
Removing intermediate container 542e2de2029d 
Successfully built 79009691f408 


这 样 就 构建 了 名 为 jamtur091/jeky11 ` IDN79009691F408 的 新 
镜像 。 这 就 是 将 要 使 用 的 新 的 Jekyll 镜 像 。 可 以 使 用 docker images 
命令 来 查看 这 个 新 镜像 ， 如 代码 清单 6-4 所 示 。 


代码 清单 6-4 查看 新 的 Jekyll 基 础 镜像 


$ sudo docker images 
REPOSITORY TAG ID CREATED SIZE 
jamtur01/jekyll latest 79009691f408 6 seconds ago 12.29 kB 


(virtual 671 MB) 


6.1.3 ”Apache 镜像 


接 下 来 ， 我 们 来 构建 第 二 个 镜像 ， 一 个 用 来 架构 新 网 站 的 Apache 服 务 
器 。 我 们 先 创建 一 个 新 目录 和 一 个 空 的 Dockerfile ， 如 代码 清单 6- 
5 所 示 。 


代码 清单 6-5 ”创建 Apache Dockerfile 


$ mkdir apache 
$ cd apache 


$ vi Dockerfile 


现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-6 所 示 。 


代码 清单 6-6 Jekyll Apache 的 Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install apache2 

VOLUME [ "/var/www/html" ] 

WORKDIR /var/www/html 
APACHE_RUN_USER www-data 
APACHE_RUN_GROUP www-data 
APACHE_LOG_DIR /var/log/apache2 
APACHE_PID_FILE /var/run/apache2.pid 
APACHE_RUN_DIR /var/run/apache2 
APACHE_LOCK_DIR /var/lock/apache2 
mkdir -p $APACHE_RUN_DIR $APACHE_LOCK_DIR $APACHE_LOG_DIR 

EXPOSE 80 

ENTRYPOINT [ "/usr/sbin/apache2" ] 

CMD ["-D", "FOREGROUND" ]} 


这 个 镜像 也 是 基于 Ubuntu 14.04 的 ， 并 安装 了 Apache。 然 后 我 们 使 用 
VOLUME 指令 创建 了 一 个 卷 ， 即 /var /www/html1/ ， 用 来 存放 编译 后 
的 Jekyll 网 站 。 然 后 将 /var/www/html 设 为 工作 目录 。 


然后 我 们 使 用 ENV 指令 设置 了 一 些 必要 的 环境 变量 ， 创 建 了 必要 的 目 
录 ， 并 且 使 用 EXPOSE 公开 了 80 端口 。 最 后 指定 了 ENTRYPOINT 和 
CMD 指令 组 合 来 在 容 吉 局 动 时 默认 运行 Apache 。 

6.1.4 构建 Jekyll Apache 镜 像 


有 了 这 个 Dockerfile ， 可 以 使 用 docker build 命令 来 构建 可 以 
启动 容器 的 镜像 ， 如 代码 清单 6-7 所 示 。 


代码 清单 6-7 构建 Jekyll Apache 镜 像 


$ sudo docker build -t jamturO01/apache . 
Sending build context to Docker daemon 2.56 kB 


Sending build context to Docker daemon 

Step 0 : FROM ubuntu:14.04 
---> 99eCc81b80c55 

Step 1 : MAINTAINER James Turnbull <james@example.com> 
---> Using cache 
---> Cc444e8ee0058 


Step 11 : CMD ["-D", "FOREGROUND" ] 

---> Running in 7aa5c127b41e 

---> fc8e9135212d 
Removing intermediate container 7aa5c127b41e 
Successfully built fc8e9135212d 


这 样 就 构建 了 名 为 jamtur01/apache 、ID 为 fc8e9135212d 的 新 
镜像 。 这 就 是 将 要 使 用 的 Apache 镜 像 。 可 以 使 用 docker images 命 
令 来 查看 这 个 新 镜像 ， 如 代码 清单 6-8 所 示 。 


代码 清单 6-8 ”查看 新 的 Jekyll Apache 镜 像 


$ sudo docker images 
REPOSITORY TAG ID CREATED SIZE 
jamtur@1/apache latest fc8e9135212d 6 seconds ago 12.29 kB 


(virtual 671 MB) 


6.1.5 “启动 Jekyll 网 站 
现在 有 了 以 下 两 个 镜像 。 


。 Jekyll: 安装 了 Ruby 及 其 他 必 备 软件 包 的 Jekyll 镜 像 。 
e Apache: 通过 Apache Web 服 务 絮 来 让 Jekyll 网 站 工作 起 来 的 镜 
Re 


我 们 从 使 用 docker run 命令 来 创建 一 个 新 的 Jekyll 容 器 开始 我 们 的 
网 站 。 我 们 将 启动 容器 ， 并 构建 我 们 的 网 站 。 


然后 我 们 需要 一 些 我 的 博客 的 源 代码 。 先 把 示例 Jekyll 博 客 复制 到 
$HOME 目录 (在 这 个 例子 里 是 /home/james ) 中 ， 如 代码 清单 6-9 所 
ZR ° 


代码 清单 6-9 ”创建 示例 Jekyll 博 客 


$ cd $HOME 
$ git clone https://github.com/jamtur01/james_blog.git 


在 这 个 目录 下 可 以 看 到 一 个 启用 了 Twitter Bootstrap 7! 的 最 基础 的 
Jekyll 博 客 。 如 采 你 也 想 使 用 这 个 博客 ， 可 以 修改 _config .yml 文件 
和 主题 ， 以 符合 你 的 要 求 。 


现在 在 Jekyll 容 器 里 使 用 这 个 示例 数据 ， 如 代码 清单 6-10 所 示 。 


代码 清单 6-10 ”创建 Jekyll 容 器 


$ sudo docker run -v /home/james/james_blog:/data/ \ 


--name james_blog jamtur01/jekyll 
Configuration file: /data/_config.yml 
Source: /data 

Destination: /var/www/html 
Generating... 
done. 


我 们 启动 了 一 个 叫 作 james_b1og 的 新 容器 ， 把 本 地 的 james_blog 
目录 作为 /datay 卷 挂 载 到 容器 里 。 容 器 已 经 拿 到 网 站 的 源 代码 ， 并 
将 其 构建 到 已 编译 的 网 站 ， 存 放 到 /var/www/html/ 目录 。 


卷 是 在 一 个 或 多 个 容 右 中 特殊 指定 的 目录 ， 卷 会 绕 过 联合 文件 系统 ， 
为 持久 化 数据 和 共 至 数据 提供 几 个 有 用 的 特性 。 


。 卷 可 以 在 容器 间 共 至 和 重用 。 

。 共 至 卷 时 不 一 定 要 运行 相应 的 容 硕 。 

。 对 卷 的 修改 会 直接 在 卷 上 反映 出 来 。 

。 更 新 镜像 时 不 会 包含 对 卷 的 修改 。 

。 卷 会 一 直 存 在 ， 直 到 没有 容器 使 用 它们 。 


利用 卷 ， 可 以 在 不 用 提交 镜像 修改 的 情况 下 ， 向 镜像 里 加 入 数据 (如 
源 代码 、 数 据 或 者 其 他 内 容 ) ， 并 且 可 以 在 容 右 间 共 至 这 些 数据 。 


卷 在 Docker 宿 主机 的 /var/l1ib/docker/volumes 目录 中 。 可 以 通 
过 docker inspect 命令 查看 某 个 卷 的 具体 位 置 ， 如 docker 


inspect -f "{{ range .Mounts }} ~ {{.}}{{end}}" 


[© 


EA Docker 1.9 中 ， 卷 功能 已 经 得 到 扩展 ， 能 通过 插件 的 方式 支持 第 三 方 存储 系统 ， 如 
Ceph、EFlocker 和 EMC 等 。 可 以 在 卷 插 件 文档 B] 和 docker volume create 命令 文档 M 
中 获得 更 详细 的 解释 。 


所 以 ， 如 果 想 在 男 一 个 容器 里 使 用 /var /www/html/ 卷 里 编译 好 的 
网 站 ， 可 以 创建 一 个 新 的 链接 到 这 个 卷 的 容器 ， 如 代码 清单 6-11 所 
ZN ° 


代码 清单 6-11 创建 Apache 容 器 


$ sudo docker run -d -P --volumes-from james_blog jamtur01/apache 
09a570CC2267019352525079fbba9927806F782achb88213bd38dde7e2795407d 


这 看 上 去 和 典型 的 docker run 很 像 ， 只 是 使 用 了 一 个 新 标志 - - 
volumes-from。 标 志 - -volumes-from 把 指定 容器 里 的 所 有 卷 都 
加 入 新 创建 的 容器 里 。 这 意味 着 ，Apache 容 器 可 以 访问 之 前 创建 的 
james_blog 容器 里 /var/www/html 卷 中 存放 的 编译 后 的 Jekyll 网 
站 。 即 便 james_blog 容 絮 没有 运行 ，Apache 容 器 也 可 以 访问 这 个 
卷 。 想 想 ， 这 只 是 卷 的 特性 之 一 。 不 过 ， 容 器 本 身 必须 存在 。 


型 语 即使 删除 了 使 用 了 卷 的 最 后 一 个 容器 ， 卷 中 的 数据 也 会 持久 保存 。 


构建 Jekyl 网 站 的 最 后 一 步 是 什么 ? 来 查看 一 下 容器 把 已 公开 的 80 端 
口 映 射 到 了 哪个 端口 ， 如 代码 清单 6-12 所 示 。 


代码 清单 6-12 解析 Apache 容 器 的 端口 


$ sudo docker port 09a570cc2267 80 
0.0.0.0:49160 


现在 在 Docker 答 主机 上 浏览 该 网 站 ， 如 图 6-1 所 示 。 


所 © docker.example.com:49160 


ker-Driven Blog 


Hello World! 


Read Jeky® Quick Start 


Complete usage and documentation available at Jeky! Bootstrap 
Update Author Attributes 


remember to specify your o 


图 6-1 Jekyl 网 站 
现在 终于 把 Jekyll 网 站 运行 起 来 了 | 

6.1.6 更 新 Jekyll 网 站 

如 有 末 要 更 新 网 站 的 数据 ， 丈 更 有 意思 了 “。 假 设 要 修改 Jekyll 网 站 。 我 们 


将 通过 编辑 james_blog/_config .yml 文件 来 修改 博客 的 名 字 ， 如 
代码 清单 6-13 所 示 。 


代码 清单 6-13 ”编辑 Jekyll 博 客 


$ vi james_blog/_config.yml 


并 将 title 域 改 为 James' Dynamic Docker-driven Blog ° 


那么 如 何 才 能 更 新 博客 网 站 呢 ? 只 需要 再 次 使 用 docker start 命令 
启动 Docker 容 器 即 可 ， 如 代码 清单 6-14 所 示 。 


代码 清单 6-14 再 次 启动 james_blog 容 


$ sudo docker start james_blog 
james_blog 


I 


p 


en eee Pee 如 代码 请 单 6-15 
ZR œ 


代码 清单 6-15 ”查看 james_b1og 容器 的 日 志 


$ sudo docker logs james_blog 
Configuration file: /data/_config.yml 
Source: /data 
Destination: /var/www/html 
Generating... 
done. 


Configuration file: /data/_config.yml 
Source: /data 
Destination: /var/www/html 
Generating... 


done. 


可 以 看 到 ，Jekyll 编 译 过 程 第 二 次 被 运行 ， 并 且 网 站 已 经 被 更 新 。 这 次 
更 新 已 经 写 入 了 对 应 的 卷 。 现 在 浏览 Jekyl 网 站 ， 就 能 看 到 变化 了 ， 如 
图 6-2 所 示 。 


ée c docker.example.com:49160 


James's Dynamic Docker-Driven Biog Archive Categorie Page Tags 


Hello World! Supporting tagline 


Read Jekyll Quick Start 


Complete usage and documentation avaiable at: Jekyll Bootstrap 


Update Author Attributes 


In _config.yml remember to specify your own data: 


title : My Blog =) 


The theme should reference these variables whenever needed. 


图 6-2 ”更 新 后 的 Jekyl 网 站 


由 于 共 : 享 的 卷 会 自动 更 新 ， 这 一 切 都 不 需要 更 新 或 者 重启 Apache 容 
这 个 流程 非常 简单 ， 可 以 将 其 扩展 到 更 复杂 的 部 署 环境 。 


6.1.7 备份 Jekyll 卷 


你 可 能 会 担心 万 一 不 小 心 删除 卷 “尽管 能 使 用 已 有 的 步骤 轻松 重建 这 
个 卷 ) 。 由 于 卷 的 优点 之 一 就 是 可 以 挂 载 到 任意 容器 ， 因 此 可 以 轻松 
备份 它们 。 现 在 创建 一 个 新 容器 ， 用 来 备份 /var /www/html 卷 ， 如 
代码 清单 6-16 所 示 。 


代码 清单 6-16 ”备份 /var/www/html & 


$ sudo docker run --rm --volumes-from james_blog \ 
-v $(pwd):/backup ubuntu \ 

tar cvf /backup/james_blog_backup.tar /var/www/html 
tar: Removing leading '/' from member names 

/var /www/htm1/ 

/var/www/html/assets/ 

/var/www/html/assets/themes/ 


$ ls james_blog_backup.tar 
james_blog_backup. tar 


这 里 我 们 运行 了 一 个 已 有 的 Ubuntu 容器 ， 并 把 james_b1odg 的 卷 挂 载 
到 该 容器 里 。 这 会 在 该 容器 里 创建 /var/www/html 目录 。 然 后 我 们 
使 用 -v 标志 把 当前 目录 (通过 $( pwd) 命令 获得 ) 挂 载 到 容器 

的 /packup 目录 。 最 后 我 们 的 容器 运行 这 一 备份 命令 ， 如 代码 清单 6- 
17 所 示 。 

og 标志 ， 这 个 标志 对 于 只 用 一 次 的 容器 ， 或 者 说 用 完 即 扔 的 容器 ， 
和 


用 。 这 个 标志 会 在 容器 的 进程 运行 完毕 后 ， 自动 删除 容器 。 对 于 只 用 一 次 的 容器 来 说 ， 
这 是 一 种 很 方便 的 清理 方法 。 


代码 清单 6-17 备份 命令 


tar cvf /backup/james_blog_backup.tar /var/www/html 


这 个 命令 会 创建 一 个 名 为 jams_blog_backup. tar 的 tar 文 件 (该 文 
件 包 括 了 /var/www/html 目录 里 的 所 有 内 容 ) ， 然 后 退出 。 这 个 过 
程 创建 了 卷 的 备份 。 


这 显然 只 是 一 个 最 简单 的 备份 过 程 。 用 户 可 以 扩展 这 个 命令 ， 备 份 到 


本 地 存储 或 者 云端 (如 Amazon $3 5l 或 者 更 传统 的 类 似 Amanda [6] 的 
备份 软件 ) 。 


| EB MIS PE E E A ERRE H o RA ET 
| 容器 ， 完 成 备份 ， 然 后 废弃 这 个 用 于 备份 的 容器 就 可 以 了 。 


6.1.8 ”扩展 Jekyll 示 例 网 站 
下 面 是 几 种 扩展 Jekyl 网 站 的 方法 。 


。 运行 多 个 Apache 容 器 ， 这 些 容器 都 使 用 来 日 ]ames_blog 容器 的 
卷 。 在 这 些 Apache 容 器 前 面 加 一 个 人 负载 均衡 问 ， 我 们 就 拥有 了 一 
个 Web 集 群 。 

进一步 构建 一 个 镜像 ， 这 个 镜像 把 用 户 提 供 的 源 数据 复制 (如 通 
过 git clone) 到 卷 里 。 再 把 这 个 卷 挂 载 到 从 
jamtur01/jekyll 镜像 创建 的 容 希 。 这 束 是 一 个 可 迁移 的 通用 
方案 ， 而 且 不 需要 宿主 机 本 地 包含 任何 源 代 码 。 

在 上 一 个 扩展 基础 上 可 以 很 容易 为 我 们 的 服务 构建 一 个 Web 前 
端 ， 这 个 服务 用 于 从 指定 的 源 目 动 构建 和 部 署 网 站 。 这 样 用 户 就 
有 一 个 完全 属于 自己 的 GitHub Pages 了 。 


6.2 ”使 用 Docker 构 建 一 个 Java 应 用 服务 


现在 我 们 来 试 一些 稍微 不 同 的 方法 ， 考 虚 把 Docker 作 为 应 用 服务 器 和 
编译 管道 。 这 次 做 一 个 更 加 “企业 化 ” 且 用 于 传统 工作 负载 的 服务 ， 获 
取 Tomcat 服 务 絮 上 的 WAR 文 件 ， 并 运行 一 个 Java 应 用 程序 。 为 了 做 到 
这 一 点 ， 构 建 一 个 有 两 个 步骤 的 Docker 管 道 。 


。 一 个 镜像 从 URL 拉 取 指 定 的 WAR 文 件 并 将 其 保存 到 卷 里 。 
。 一 个 含有 Tomcat 服 务 器 的 镜像 运行 这 些 下 载 的 WAR 文 件 。 
6.2.1 WAR 文 件 的 获取 程序 


我 们 从 构建 一 个 镜像 开始 ， 这 个 镜像 会 下 载 WAR 文 件 并 将 其 挂 载 在 卷 
里 ， 如 代码 清单 6-18 所 示 。 


代码 清单 6-18 创建 获取 程序 (fetcher) 的 Dockerfile 


$ mkdir fetcher 
$ cd fetcher 


$ touch Dockerfile 


现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-19 所 示 。 


代码 清单 6-19 ”WAR 文件 的 获取 程序 


FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get -yqq install wget 


VOLUME [ "/var/lib/tomcat7/webapps/" | 
WORKDIR /var/lib/tomcat7/webapps/ 
ENTRYPOINT [ "wget" ] 

CMD [ Woo ] 


这 个 非常 简单 的 镜像 只 做 了 一 件 事 : 容器 执行 时 ， 使 用 wget 从 指定 
的 URL 获 取 文 件 并 把 文件 保存 在 /var/1lib/tomcat7/webapps/ 目 
录 。 这 个 目录 也 是 一 个 卷 ， 并 且 是 所 有 容器 的 工作 目录 。 然 后 我 们 会 
把 这 个 卷 共 享 给 Tomcat 服 务 恬 并 且 运 行 里 面 的 内 容 。 


最 后 ， 如 果 没 有 指定 URL，ENTRYPOINT 和 CMD 指令 会 让 容器 运行 ， 
竺 容 右 不 市 URL 运 行 的 时 候 ， 这 两 条 指令 通过 返回 wget 帮助 来 做 到 
这 二 局 
现在 我 们 来 构建 这 个 镜像 ， 如 代码 清单 6-20 所 示 。 

代码 清单 6-20 构建 获取 程序 的 镜像 


$ sudo docker build -t jamtur01/fetcher . 


6.2.2 ”获取 WAR 文 件 


现在 让 我 们 获取 一 个 示例 文件 来 局 动 新 镜像 。 从 https:Wtomcat. 
apache.org/tomcat-7.0-doc/ appdev/sample/ 下 载 Apache Tomcat 示 例 应 
用 ， 如 代码 清单 6-21 所 示 。 


代码 清单 6-21 获取 WAR 文 件 


$ sudo docker run -t -i --name sample jamtur01/fetcher \ 
https://tomcat.apache.org/tomcat-7.0-doc/appdev/sample/sample. war 
--2014-06-21 06:05:19-- https://tomcat.apache.org/tomcat-7.0- 
doc/appdev/ 
sample/sample.war 
Resolving tomcat.apache.org (tomcat.apache.org)... 
140.211.11.131, 192.87.106.229, 2001:610:1:80bc:192:87:106:229 
Connecting to tomcat.apache.org (tomcat.apache.org) 
}140.211.11.131|:443...connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 4606 (4.5K) 
Saving to: 'sample.war' 
--.-K/s in 
Os 
2014-06-21 06:05:19 (14.4 MB/s) "sample.war' saved [4606/4606 ] 


Wheel, Ainme 的 URL 下 载 了 Sample， war 文件 。 从 输出 结 
果 看 不 出 最 终 的 保存 路 径 ， 但 是 因为 设置 了 容器 的 工作 目录 ， 
sample .war 文件 最 终 会 保存 到 /var/1lib/tomcat7/webapps/ 目 


i 


可 以 在 /var/1ib/docker 目录 找到 这 个 WAR 文 件 。 我 们 先 用 
docker inspect 命令 查找 卷 的 存储 位 置 ， 如 代码 清单 6-22 所 示 。 


代码 清单 6-22 ”查看 示例 里 的 卷 


$ sudo docker inspect -f "{{ range .Mounts }}{{.}}{{end}}" sample 
{c20a0567145677ed46938825f 285402566e821462632e1842e82bc51b47fe4dc 
/var/1ib/docker/volumes/ 
C20a056714567 7ed46938825f 285402566e821462632e1842e82bc51b47fe4dc 
/_data /var/lib/tomcat7/webapps local true} 


然后 我 们 可 以 查看 这 个 目录 ， 如 代码 清单 6-23 所 示 。 
代码 清单 6-23 ”查看 卷 所 在 的 目录 


$ ls -1 /var/lib/docker/volumes/ 
c20a0567145677ed46938825f285402566e821462632e1842e82bc51b47fe4dc 
/_data 


total 8 
-rw-r--r-- 1 root root 4606 Mar 31 2012 sample.war 


6.2.3 “Tomecat7 应 用 服务 器 


现在 我 们 已 经 有 了 一 个 可 以 获取 WAR 文 件 的 镜像 ， 并 已 经 将 示例 WAR 
文件 下 载 到 了 容 右 中 。 接 下 来 我 们 构建 Tomcat 应 用 服务 器 的 镜像 来 运 
行 这 个 WAR 文 件 ， 如 代码 清单 6-24 所 示 。 


代码 清单 6-24 创建 Tomcat 7 Dockerfile 


$ mkdir tomcat7 
$ cd tomcat7 


$ touch Dockerfile 


现在 我 们 来 看 看 这 个 Dockerfile ， 如 代码 清单 6-25 所 示 。 


代码 清单 6-25 Tomcat 7 应 用 服务 器 


FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 
REFRESHED_AT 2014-06-01 
apt-get -yqq update 
apt-get -yqq install tomcat7 default -jdk 
CATALINA_HOME /usr/share/tomcat7 
CATALINA_BASE /var/1lib/tomcat7 
CATALINA _PID /var/run/tomcat7.pid 


CATALINA_SH /usr/share/tomcat7/bin/catalina.sh 
CATALINA_TMPDIR /tmp/tomcat7-tomcat7-tmp 
mkdir -p $CATALINA_TMPDIR 

VOLUME [ "/var/lib/tomcat7/webapps/" ] 

EXPOSE 8080 

ENTRYPOINT [ "/usr/share/tomcat7/bin/catalina.sh", "run" ] 


这 个 镜像 很 简单 。 我 们 需要 安装 Java JDK 和 Tomcat 服 务 器 。 我 们 首先 
指定 一 些 启动 Tomcat 需 要 的 环境 变量 ， 然 后 我 们 创建 一 个 临时 目录 ， 
还 创建 了 /var/1ib/tomcat7/`”` `webapps/ €, AF T Tomcat 
默认 的 8080 端口 ， 最 后 使 用 ENTRYPOINT 指令 来 启动 Tomcat 。 


现在 我 们 来 构建 Tomcat 7 镜像 ， 如 代码 清单 6-26 所 示 。 
代码 清单 6-26 ”构建 Tomcat 7 镜像 


$ sudo docker build -t jamtur@1/tomcat7 . 


6.2.4 ”运行 WAR 文 件 
现在 ， 让 我 们 创建 一 个 新 的 Tomcat 实 例 ， 运 行 示 例 应 用 ， 如 代码 清单 
6-27 所 示 。 


代码 清单 6-27 创建 第 一 个 Tomcat 实 例 


$ sudo docker run --name sample_app --volumes-from sample \ 
-d -P jamtur01/tomcat7 


这 会 创建 一 个 名 为 sample_app Was, MX SAGSE Asample 容 
器 里 的 卷 。 这 意味 着 存储 在 /var/1ib/tomcat7/webapps/ 卷 里 的 
WAR 文 件 会 从 sample 容器 挂 载 到 sample_app 容器 ， 最 终 被 Tomcat 
加 载 并 执行 。 

让 我 们 在 Web 浏 览 器 里 看 看 这 个 示例 程序 。 首 先 ， 我 们 必须 使 用 
docker port 命令 找 出 被 公开 的 端口 ， 如 代码 清单 6-28 所 示 。 


代码 清单 6-28 ”查找 Tomcat 应 用 的 端口 


sudo docker port sample_app 8080 
0.0.0.0:49154 


现在 我 们 来 浏览 这 个 应 用 (使 用 URL 和 端口 ， 并 在 最 后 加 上 /sample 
) 看 看 都 有 什么 ， 如 图 6-3 所 示 。 


€¢€ 7 Ch docker.example.com:49154/sample 


gee "Hello, World" Application 


This is the home page for a sample application used to illustrate the source directory organization of a web application utilizing the principles outlined 
Developer's Guide. 


To prove that they work, you can execute cither of the following links: 


e Toa JSP page 
e Toa servlet. 


图 6-3 ”我 们 的 Tomcat 示 例 应 用 


应 该 能 看 到 正在 运行 的 Tomcat 应 用 。 


6.2.5 ”基于 Tomcat 应 用 服务 器 的 构建 服务 


现在 有 了 自 服务 Web 服 务 的 基础 模块 ， 让 我们 来 看 看 怎么 基于 这 些 基 
础 模块 做 扩展 。 为 了 做 到 这 一 点 ， 我 们 已 经 构建 好 了 一 个 简单 的 基于 
Sinatra 的 Web 应 用 ， 这 个 应 用 可 以 通过 网 页 目 动 展示 Tomcat 必 用。 这 
个 应 用 叫 TProv。 可 以 在 本 书 官网 M ae GitHub |! 找到 其 源 代 码 。 


人 文 个 程序 来 演示 如 何 扩展 之 前 的 示例 。 首 先 ， 要 保证 已 

装 了 Ruby， 如 代码 清单 6-29 所 示 。TProv 应 用 会 直接 安装 在 Docker 

Ra 因为 这 个 应 用 会 直接 和 Docker 守 护 进 程 交 互 。 这 也 正 是 要 
安装 Ruby 的 地 方 。 


联 缠 时 也 可 以 把 TProv 应 用 安装 在 Docker 容 器 里 。 


代码 清单 6-29 ”安装 Ruby 


$ sudo apt-get -qqy install ruby make ruby-dev 


然后 可 以 通过 Ruby gem 安 装 这 个 应 用 ， 如 代码 清单 6-30 所 示 。 


代码 清单 6-30 ”安装 TProv 应 用 


$ sudo gem install --no-rdoc --no-ri tprov 


Successfully installed tprov-0.0.4 


这 个 命令 会 安装 TProv 应 用 及 相关 的 文 撑 gem ° 
然后 可 以 使 用 tprov 命令 来 启动 应 用 ， 如 代码 清单 6-31 所 示 。 


代码 清单 6-31 启动 TProv 应 用 


$ sudo tprov 

[2014-06-21 16:17:24] INFO WEBrick 1.3.1 

[2014-06-21 16:17:24] INFO ruby 1.8.7 (2011-06-30) [x86_64-linux] 
== Sinatra/1.4.5 has taken the stage on 4567 for development with 
backup 


from WEBrick 
[2014-06-21 16:17:24] INFO WEBrick::HTTPServer_#start_: 
_pid=14209 port=4567_ 


这 个 命令 会 启动 应 用 。 现 在 我 们 可 以 在 Docker 宿 主机 上 通过 端口 4567 
浏览 Tprov 网 站 如 图 6-4 所 示 。 


d Cfi docker.example.com:4567 


TProv or the Tomcat Provisioner is a Sinatra app that demonstrates how to build a simple PAAS with Docker. Rt allows you to provision Tomcat applications in Docker containers 
R was written for The Docker Book 


Add a new Tomcat Application 


Tomcat Application 


Enter name of the Tomcat application. 
Enter the URL of a WAR file you wish to run. 


Submit 


© James Tumbull 2014 


图 6-4 ”TProv 网 络 应 用 


如 我 们 所 见 ， 我 们 可 以 指定 Tomcat 应 用 的 名 字 和 指 问 Tomcat WAR 文 件 
的 URL 。 从 https://gwt-examples.googlecode.com/files/Calendar.war 下 载 
示例 日 历 应 用 程序 ， 并 将 其 称 为 Calendar， 如 图 6-5 所 示 。 


Welcome to TProv 


TProw o the Tomcat Provisioner is a Sinatra app that Gemonstrates how to build a simple PAAS with Docker. It allows you to provision Tomcat applications in Docker containers. 


it was written for The Docker Book 
Add a new Tomcat Application 


Tomcat Application 
Enter name of the Tomcat application. 
Caterxied 


Enter the URL of a WAR file you wish to run. 
Mitps:-//gwt-eacarnples. googiecode cx 


Somit 


© James Turnbull 2014 


图 6-5 下载 示 例 应 用 程 请 


单 击 Submit 按 钮 下 载 WAR 文 件 ， 将 其 放 入 卷 里 ， 运 行 Tomcat 服 务 絮 ， 
加 载 卷 里 的 WAR 文 件 。 可 以 点 击 List instances (展示 实例 ) 链 
接 来 查看 实例 的 运行 状态 ， 如 图 6-6 所 示 。 


Tomcat Applications 
Container ID IPAddress Port Delete? 
e04a44d54305 172.17.0.10 0.0.0.0.49154 


Subma 


图 6-6 ”展示 Tomcat 实 例 
这 展示 了 : 
。 容器 的 ID; 


© 容 帮 的 内 部 IP 地 址 ; 
。 服务 映射 到 的 接口 和 端口 。 


利用 这 些 信息 我 们 可 以 通过 浏 宽 映射 的 端口 来 查看 应 用 的 运行 状态 ， 
还 可 以 使 用 Delete? (是 否 删除 ， 单 选 框 来 删除 正在 运行 的 实例 。 


可 以 查看 TProv 应 A 代码 上 9] ， 看 看 程序 是 如 何 实现 这 些 功能 的 。 
这 个 应 用 很 简单 ， 只 是 通 过 shell 执 行 docker 程序 再 捕获 输出 ， 来 
运行 或 者 删除 容器 。 


可 以 随意 使 用 TProv 代 码 ， 在 之 上 做 扩展 ， 或 者 干脆 重新 写 一 份 自己 的 
代码 (101 * 本 文 的 应 用 主要 用 于 展示 ， 使 用 Docker 构 建 一 个 应 用 程序 
部 署 管道 是 很 容易 的 事情 。 


| 区 于 汪 ITProv 应 用 确实 太 简 单 了 ， 缺 少 某 些 错误 处 理 和 测试 。 这 个 应 用 的 开发 过 程 很 快 : 只 
写 了 一 个 小 时 ， 用 于 展 示 在 构建 应 用 和 服务 时 Docker 是 一 个 多 么 强大 的 工具 。 如 果 你 在 这 个 
应 用 里 找到 了 bug (或 者 想 把 它 写 得 更 好 ) ， 可 以 通过 在 https://github.com/jamtur01/docker 
book-code 提交 issue 或 者 PR 来 告诉 我 。 


6.3 ”多 容器 的 应 用 栈 


在 最 后 一 个 服务 应 用 的 示例 中 我 们 把 一 个 使 用 Express 框 架 的 、 带 有 
ee ht 这 里 要 继续 演示 如 何 把 之 前 
两 章 学 到 的 Docker 特 性 结合 起 来 使 用 ， 包 括 链接 和 卷 。 


在 这 个 例 和 于 中， 我 们 会 构建 一 系列 的 镜像 来 文 持 部 闭 多 容 融 的 应 用 。 


。 一 个 Node 容 器 ， 用 来 服务 于 Node 应 用 ， 这 个 容 带 会 链接 到 。 
。 一 个 Redis 主 容 右 ， 用 于 你 存 和 集群 化 应 用 状态， 这 个 容 絮 会 链接 


2) ° 
。 两 个 Redis 副 本 容器 ， 用 于 集群 化 应 用 状态 。 
。 一 个 日 志 容 右 ， 用 于 捕获 应 用 日 志 。 


我 们 的 Node 应 用 程序 会 运行 在 一 个 容 右 中 ， 它 后 面 会 有 一 个 配 鞋 
为 “ 主 -副本 ”模式 运行 在 多 个 容 絮 中 的 Redsi 集 群 。 


6.3.1 ”Node.js 镜 像 


先 从 构建 一 个 安装 了 Node.js 的 镜像 开始 ， 这 个 镜像 有 Express 应 用 和 相 
应 的 必要 的 软件 包 ， 如 代码 清单 6-32 所 示 。 


代码 清单 6-32 ”创建 Node.js Dockerfile 


$ mkdir nodejs 
$ cd nodejs 


$ mkdir -p nodeapp 

$ cd nodeapp 

$ wget https://raw.githubusercontent.com/jamtur01/dockerbook-code 
/master/code/6/node/nodej s/nodeapp/package. json 

$ 

$ 

$ 


wget https://raw.githubusercontent.com/jamtur01/dockerbook-code 
/master/code/6/node/nodejs/nodeapp/server.js 

cd .. 

vi Dockerfile 


我 们 已 经 创建 了 一 个 叫 nodej s 的 新 目录 ， 然 后 创建 了 子 目录 
nodeapp 来 保存 应 用 代码 。 然 后 我 们 进入 这 个 目录 ， 并 下 载 了 Node.js 
应 用 的 源 代 码 。 


EFJ 可 以 从 本 书 官网 0 或 者 GitHub 仓 库 02] 下 载 Node 应 用 的 源 代码 。 


最 后 我 们 回 到 了 nodejs 目录 。 现 在 我 们 来 看 看 这 个 Dockerfile 的 
内 容 ， 如 代码 清单 6-33 所 示 。 


代码 清单 6-33 ”Node.js 镜 像 


FROM ubuntu:14.04 
MAINTAINER James Turnbull <james@example.com> 
REFRESHED_AT 2014-06-01 
apt-get -yqq update 
apt-get -yqq install nodejs npm 
ln -s /usr/bin/nodejs /usr/bin/node 
mkdir -p /var/log/nodeapp 


nodeapp /opt/nodeapp/ 
WORKDIR /opt/nodeapp 
RUN npm install 
VOLUME [ "/var/log/nodeapp" ] 
EXPOSE 3000 
ENTRYPOINT [ "nodejs", "server.js" ] 


Node.js 镜 像 安 狠 了 Node， 然 后 我 们 用 了 一 个 简单 的 技巧 把 二 进 制 文件 


nodejs 链接 到 node ， 解 决 了 Ubuntu 上 原 有 的 一 些 无 法 向 后 兼容 的 问 
题 。 


然后 我 们 将 nodeapp 的 源 代码 通过 ADD 指令 添加 到 /opt/nodeapp 
目录 。 这 个 Node.js 应 用 有 古 一 个 简单 内 Express 服 务 右 ， 包 括 一 个 存放 应 
用 依赖 信息 的 package .json 文件 和 包含 实际 应 用 代码 的 


o .js 文件 ， 我 们 来 看 一 下 该 应 用 的 部 分 代码 ， 如 代码 清单 6-34 
所 示 。 


代码 清单 6-34 ”Node.js 应 用 的 server .js 文件 


var logFile = fs.createwriteStream('/var/log/nodeapp/nodeapp.log', 
{flags: 'a'}); 
app.configure(function() { 


app.use(express.session({ 
store: new RedisStore({ 
host: process.env.REDIS_HOST || 'redis_primary', 
port: process.env.REDIS PORT || 6379, 
db: process.env.REDIS DB || © 


app.get('/', function(reg, res) { 
res.json({ 


var port = process.env.HTTP_PORT || 3000; 
server.listen(port); 
console.log('Listening on port ' + port); 


server .js 文件 引入 了 所 有 的 依赖 ， 并 启动 了 Express 应 用 。Express 
应 用 把 会 话 (session) 信息 保存 到 Redis 里 ， 并 创建 了 一 个 以 JSON 格 

式 返回 状态 信息 的 和 节点。 这 个 应 用 默认 使 用 redis_primary 作为 主 
如 果 有 必要 ， 可 以 通过 环境 变量 覆盖 这 个 默认 的 主 


这 个 应 用 会 把 日 志 记 录 到 /var/l0og/nodeapp/nodeapp ,1og 文件 
里 ， 并 监听 3000 端口 。 


EFJ 可 以 从 本 书 官网 3) 或 者 GitHub UA 得 到 这 个 Node 应 用 的 源 代码 。 


接着 我 们 将 工作 目录 设置 为 /opt/nodeapp ， 并 且 安 装 了 Node 应 用 
的 必要 软件 包 ， 还 创建 了 用 于 存放 Node 应 用 日 志 的 
#8/var/log/nodeapp ° 


最 后 我 们 公开 了 3000 端口 ， 并 使 用 ENTRYPOINT 指定 了 运行 Node 心 


用 的 命令 nodejs server.js ° 


现在 我 们 来 构建 镜像 ， 如 代码 清单 6-35 所 示 。 
代码 清单 6-35 ”构建 Node.js 镜 像 


$ sudo docker build -t jamtur01/nodejs . 


6.3.2 ”Redis 基 础 镜像 


现在 我 们 继续 构建 第 一 个 Redis 镜 像 : 安装 Redis 的 基础 镜像 (如 代码 
-36 所 示 ) 。 然 后 我 们 会 使 用 这 个 镜像 构建 Redis 主 镜像 和 副本 镜 


代码 清单 6-36 ”创建 Redis 基 础 镜像 的 Dockerfile 


$ mkdir redis base 
$ cd redis base 


$ vi Dockerfile 


现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-37 所 示 。 


代码 清单 6-37 基础 Redis 镜 像 


FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -yqq update 

RUN apt-get install -yqq software-properties-common python- 
software- 

properties 


RUN add-apt-repository ppa:chris-lea/redis-server 
RUN apt-get -yqq update 

RUN apt-get -yqq install redis-server redis-tools 
VOLUME [ "/var/lib/redis", "/var/log/redis/" ] 
EXPOSE 6379 

CMD[] 


这 个 Redis 基 础 镜像 安装 了 最 新 版 本 的 Redis (从 PPA 库 安装 ， 而 不 是 使 
用 Ubuntu 上 自从 的 较 老 的 Redis 包 ) ， 指 定 了 两 个 VOLUME 

(/var/lib/redis fil/var/log/redis ) ， 公 开 了 Redis 的 默认 
端口 6379 。 因 为 不 会 执行 这 个 镜像 ， 所 以 没有 包含 ENTRYPOINT 或 
者 CMD 指令 。 然 后 我 们 将 只 是 基于 这 个 镜像 构建 别 的 镜像 。 


现在 我 们 来 构建 Redis 基 础 镜像 ， 如 代码 清单 6-38 所 示 。 


代码 清单 6-38 构建 Redis 基 础 镜像 


$ sudo docker build -t jamtur01/redis . 


6.3.3 ”Redis 主 镜像 


我 们 继续 构建 第 一 个 Redis 镜 像 ， 即 Redis 主 服务 器 ， 如 代码 清单 6-39 所 
ZR œ 


代码 清单 6-39 创建 Redis 主 服务 器 的 Dockerfile 


$ mkdir redis_primary 
$ cd redis_primary 


$ vi Dockerfile 


我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 请 单 6-40 所 示 。 


代码 清单 6-40 ”Redis 主 镜像 


FROM jamtur01/redis 
MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED_AT 2014-06-01 


ENTRYPOINT [ "redis-server", "--logfile /var/log/redis/redis- 
server.log" ] 


Redis 主 镜像 基于 之 前 的 jamtur01/redis 镜像 ， 并 通过 
ENTRYPOINT 指令 指定 了 Redis 服 务 启动 命令 ，Redis 服 务 的 日 志文 件 
保存 到 /var/log/redis/redis-server.l0g。 


现在 我 们 来 构建 Redis 主 镜像 ， 如 代码 清单 6-41 所 示 。 


代码 清单 6-41 构建 Redis 主 镜像 


$ sudo docker build -t jamtur01/redis_primary . 


6.3.4 Redis 副 本 镜像 


为 了 配合 Redis 主 镜像 ， 我 们 会 创建 Redis 副 本 镜像 ， 保 证 为 Node.js 应 
用 提供 Redis 服 务 的 元 余 度 ， 如 代码 清单 6-42 所 示 。 


代码 清单 6-42 ”创建 Redis 副 本 镜像 的 Dockerfile 


$ mkdir redis_replica 
$ cd redis_replica 


$ touch Dockerfile 


现在 我 们 来 看 看 对 应 的 Dockerfile ， 如 代码 清单 6-43 所 示 。 


代码 清单 6-43 ”Redis 副 本 镜像 


FROM jamtur01/redis 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-06-01 

ENTRYPOINT [ "redis-server", "--logfile /var/log/redis/redis- 


replica.log", 
"--slaveof redis_primary 6379" | 


Redis 副 本 镜像 也 是 基于 jamtur01/redis 构建 的 ， 并 且 通 过 
ENTRYPOINT 指令 指定 了 运行 Redis 服 务 器 的 命令 ， 设 置 了 日 志文 件 和 
Slaveof 选项 。 这 就 把 Redis 配 置 为 主 -副本 模式 ， 从 这 个 镜像 构建 的 
任何 容器 都 会 将 redis_primary 主机 的 Redis 作 为 主 服务 ， 连 接 其 
6379 端口 ， 成 为 其 对 应 的 副本 服务 器 。 


现在 我 们 来 构建 Redis 副 本 镜像 ， 如 代码 清单 6-44 所 示 。 


代码 清单 6-44 构建 Redis 副 本 镜像 


$ sudo docker build -t jamtur01/redis_replica . 


6.3.5 “创建 Redis 后 端 集群 

现在 我 们 已 经 有 了 Redis 主 镜像 和 副本 镜像 ， 已 经 可 以 构建 我 们 自己 的 
Redis 复 制 环 境 了 。 首 先 我 们 创建 一 个 用 来 运行 我 们 的 Express 应 用 程序 
的 网 络 ， 我 们 称 其 为 express ， 如 代码 清单 6-45 所 示 。 


代码 清单 6-45 ”创建 express 网 络 


$ sudo docker network create express 
dfe9fe7ee5c9bFa035b7cf10266F29a701634442903ed9732dfdba2b509680c2 


现在 让 我 们 在 这 个 网 络 中 运行 Redis 主 容器 ， 如 代码 清单 6-46 所 示 。 


代码 清单 6-46 ”运行 Redis 主 容器 


$ sudo docker run -d -h redis_primary \ 
--net express --name redis primary jamtur01/redis_primary 


d2165969 7baf56346cc5bbe8d4631f670364F fddf4863ec32ab0576e85a73d27 


这 里 使 用 docker run aS jamtur01/redis_primary 镜像 创 

建 了 一 个 容器 。 这 里 使 用 了 一 个 以 前 没有 见 过 的 新 标志 -h ， 这 个 标志 

用 来 设置 容器 的 主机 名 。 这 会 履 盖 默认 的 行为 默认 将 容器 的 主机 名 

设置 为 容器 ID) 并 人 允许 我 们 指定 自己 的 主机 名 。 使 用 这 个 标志 可 以 确 

lls redis_primary 作为 主机 名 ， 并 被 本 地 的 DNS 服务 正确 
BK o 


我 们 已 经 指定 了 - -` `name 标志 ， 确 保 容 器 的 名 字 是 
redis_primary ， 我 们 还 指定 了 - - net 标志 ， 确 保 该 容器 `、 
在 express 网 络 中 运行 。 稍 后 我 们 会 看 到 ， 我 们 将 使 用 这 个 网 络 来 保 
证 容器 连通 性 。 


让 我 们 使 用 docker logs 命令 来 查看 Redis 主 容器 的 运行 状况 ， 如 代 
码 清单 6-47 所 示 。 


代码 清单 6-47 ”Redis 主 容器 的 日 志 


$ sudo docker logs redis_primary 


什么 日 志 都 没有 ? 这 是 怎么 回 事 ? 原来 Redis 服 务 会 将 日 志 记录 到 一 个 
文件 而 不 是 记录 到 标准 输出 ， 所 以 使 用 Docker 碍 看 不 到 任何 日 志 。 那 
怎么 能 知道 Redis 服 务 器 的 运行 情况 昵 ? 为 了 做 到 这 一 点 ， 可 以 使 用 之 
前 创建 的 /var/log/redis 卷 。 现 在 我 们 来 看 看 这 个 卷 ， 读 取 一 些 
日 志文 件 的 内 容 ， 如 代码 清单 6-48 所 示 。 


T 


代码 清单 6-48” 读 取 Redis 主 日 志 


$ sudo docker run -ti --rm --volumes-from redis_primary \ 
ubuntu cat /var/log/redis/redis-server.log 


[1] 25 Jun 21:45:03.074 # Server started, Redis version 2.8.12 
[1] 25 Jun 21:45:03.074 # WARNING overcommit_memory is set to 0! 
Background save may fail under low memory condition. To fix 


this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf 

and then reboot or run the command 'sysctl vm.overcommit_memory 

=1' for this to take effect. 

[1] 25 Jun 21:45:03.074 * The server is now ready to accept 
connections on port 6379 


这 里 以 交互 方式 运行 了 另 一 个 容器 。 这 个 命令 指定 了 - -rm 标志 ， 它 
会 在 进程 运行 完 后 自动 删除 容 需 。 我 们 还 指定 了 - -volLumes-from 
标志 ， 告 诉 它 从 redis_primary 容器 挂 载 了 所 有 的 卷 。 然 后 我 们 指 
定 了 一 个 ubuntu 基础 镜像 ， 并 告诉 它 执行 cat var/log/`` 
”redis/redis-server.10g 来 展示 日 志文 件 。 这 种 方法 利用 了 
卷 的 优点 ， 可 以 直接 从 redis_primary 容器 挂 载 /var/1o0g/redis 
日 志文 件 。 一 会 儿 我 们 将 会 看 到 更 多 使 用 这 个 命令 
9 情况。 


查看 Redis 日 志 ， 可 以 看 到 一 些 常 规 警 告 ,不 过 一 切 看 上 去 都 没什么 问 
题 。Redis 服 务 右 已 经 准备 好 从 6379 端口 接收 数据 了 。 


那么 下 一 步 ， 我 们 创建 一 个 Redis 副 本 容器 ， 如 代码 消 单 6-49 所 示 。 


代码 清单 6-49 ”运行 第 一 个 Redis 副 本 容器 


$ sudo docker run -d -h redis_replicali \ 
--name redis_replica1 \ 

--net express \ 

jamtur@1/redis_replica 


0ae440b5c56f48f3190332b4151c40f775615016bf781fc817f631db5af34ef8 


这 里 我 们 运行 了 男 一 个 容器 : 这 个 容器 来 目 

jamtur01/redis_ yale 。 和 之 前 一 样 ， 命 令 里 指定 了 主机 
名 (通过 -h 标志 ) 和 容器 名 (通过 - -name 标志 ) 都 是 redis_ 

` “replical。 我 们 还 使 用 了 - -net 标志 在 express 网 络 中 运行 
Redis 副 本 容 絮 。 


EZ £ Docker 1.9 之 前 的 版 本 中 ， 不 能 使 用 Docker Networking， 只 能 使 用 Docker 链 接 来 连 
接 Redis 主 容器 和 副本 容器 。 


现在 我 们 来 检查 一 下 这 个 新 容器 的 日 志 ， 如 代码 清单 6-50 所 示 。 


代码 清单 6-50 读 取 Redis 副 本 容器 的 日 志 


$ sudo docker run -ti --rm --volumes-from redis_replicai \ 
ubuntu cat /var/log/redis/redis-replica.log 


[1] 25 Jun 22:10:04.240 # Server started, Redis version 2.8.12 
[1] 25 Jun 22:10:04.240 # WARNING overcommit_memory is set to 0! 
Background save may fail under low memory condition. To fix 
this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf 
and then reboot or run the command 'sysctl vm.overcommit_memory 
=1' for this to take effect. 
[1] 25 Jun 22:10:04.240 * The server is now ready to accept 
connections on port 6379 
[1] 25 Jun 22:10:04.242 * Connecting to MASTER redis_primary:6379 
[1] 25 Jun 22:10:04.244 * MASTER <-> SLAVE sync started 
[1] 25 Jun 22:10:04.244 Non blocking connect for SYNC fired the 
event. 
[1] 25 Jun 22:10:04.244 Master replied to PING, replication can 
continue... 
[1] 25 Jun 22:10:04.245 Partial resynchronization not possible 
(no cached master) 
[1] 25 Jun 22:10:04.246 * Full resync from master: 24 
a790df6bf4786a0e886be4b34868743F6145cc : 1485 
[1] 25 Jun 22:10:04.274 * MASTER <-> SLAVE sync: receiving 18 
bytes from 
master 
[1] 25 Jun 22:10:04.274 * MASTER <-> SLAVE sync: Flushing old data 
[1] 25 Jun 22:10:04.274 * MASTER <-> SLAVE sync: Loading DB in 
memory 
[1] 25 Jun 22:10:04.275 * MASTER <-> SLAVE sync: Finished with 
success 


AEMILIA TTA ae REA AS e MIZE, HK 
们 又 使 用 了 - - rm 标志 ， 它 在 命令 执行 完毕 后 目 动 删除 容 左 。 我 们 还 
指定 了 - -volumes-from 标志 ， 挂 载 了 redis_replical 容 右 的 所 
有 卷 。 然 后 我 们 指定 了 ubuntu 基础 镜像 ， 并 让 它 cat 日 志文 

件 /var/1l0g/ redis/redis-replica.log ° 


到 这 里 我 们 已 经 成 功 启动 了 redis_primary #lredis_replica1 
容器 ， 并 让 这 两 个 容器 进行 主 从 复制 。 


现在 我 们 来 加 入 另 一 个 副本 容器 redis_rep1Lica2 ， 确 保 万 无 一 
失 ， 如 代码 清单 6-51 所 示 。 


代码 清单 6-51 运行 第 二 个 Redis 副 本 容器 


$ sudo docker run -d -h redis_replica2 \ 
--name redis_replica2 \ 
--net express \ 


jamtur01/redis_replica 
72267cd74c412c7b168d87bba70f3aaa3b96d17d6e9682663095a492bc260357 


al PRA i ae As, WIS YR 6-5277 ° 


代码 清单 6-52 第 二 个 Redis 副 本 容器 的 日 区 


pA 


$ sudo docker run -ti --rm --volumes-from redis_replica2 ubuntu \ 
cat /var/log/redis/redis-replica.1og 


[1] 25 Jun 22:11:39.417 # Server started, Redis version 2.8.12 
[1] 25 Jun 22:11:39.417 # WARNING overcommit_memory is set to 0! 
Background save may fail under low memory condition. To fix 
this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf 
and then reboot or run the command 'sysctl vm.overcommit_memory 
=1' for this to take effect. 
[1] 25 Jun 22:11:39.417 * The server is now ready to accept 
connections 
on port 6379 
[1] 25 Jun 22:11:39.417 * Connecting to MASTER redis_primary:6379 
[1] 25 Jun 22:11:39.422 * MASTER <-> SLAVE sync started 
[1] 25 Jun 22:11:39.422 * Non blocking connect for SYNC fired the 
event. 
[1] 25 Jun 22:11:39.422 * Master replied to PING, replication can 
continue... 
[1] 25 Jun 22:11:39.423 * Partial resynchronization not possible 


(no cached master) 
[1] 25 Jun 22:11:39.424 * Full resync from master: 24 
a790df6bf4786a0e886be4b34868743F6145cc : 1625 
[1] 25 Jun 22:11:39.476 * MASTER <-> SLAVE sync: receiving 18 
bytes from 
master 
[1] 25 Jun 22:11:39.476 * MASTER <-> SLAVE sync: Flushing old data 
[1] 25 Jun 22:11:39.476 * MASTER <-> SLAVE sync: Loading DB in 
memory 


现在 可 以 确保 Redis 服 务 万 无 一 失 了 ! 


6.3.6 ”创建 Node 容 器 


现在 我 们 已 经 让 Redis 集 群 运行 了 ， 我 们 可 以 为 局 动 Node.js 应 用 启动 一 
个 容器 ， 如 代码 消 单 6-53 所 示 。 


代码 清单 6-53 ”运行 Node.js 容 器 


$ sudo docker run -d \ 
--name nodeapp -p 3000:3000 \ 
--net express \ 


jamtur01/nodejs 
9a9dd33957c136e98295de7405386ed2c452e8ad263a6ecla2a08b24fF80fd175 


EZ Docker 1.9 之 前 的 版 本 中 ， 不 能 使 用 Docker Networking， 只 能 使 用 Docker 链 接 来 连 
接 Node 和 Redis 容 器 。 


我 们 从 jamtur01/nodejs 镜像 创建 了 一 个 新 容器 ， 命 名 为 nodeapp 
并 将 容器 内 的 3009 端口 映射 到 宿主 机 的 3000 端口 。 同 样 我 们 的 新 


nodeapp 容器 也 是 运行 在 express 网 络 中 。 


可 以 使 用 docker logs 命令 来 看 看 nodeapp 容器 在 做 什么 ， 如 代码 
清单 6-54 所 示 。 


代码 清单 6-54 nodeapp 容器 的 控制 台 日 志 


$ sudo docker logs nodeapp 
Listening on port 3000 


从 这 个 日 志 可 以 看 到 Node 应 用 程序 监听 了 3000 端口 。 


现在 我 们 在 Docker 答 主机 上 打开 相应 的 网 页 ， 看 看 应 用 工作 的 样子 ， 
如 图 6-7 所 示 。 


€ GC 门 docker.example.com:3000 


f 
{ 
"status": "ok" 


} 


图 6-7 Node 应 用 程序 
可 以 看 到 Node 应 用 只 是 简单 地 返回 了 OK 状态 ， 如 代码 清单 6-55 所 示 。 


代码 清单 6-55 ”Node 应 用 的 输出 


"status": "ok" 
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容器 redis_primary ， 然 后 复制 到 两 个 Redis 副 本 容器 
redis_replical 和 redis_replica2 ° 


6.3.7 ”捕获 应 用 日 志 


现在 应 用 已 经 可 以 运行 了 ， 需 要 把 这 个 应 用 放 到 生产 环境 中 。 在 生产 
环境 里 需要 确保 可 以 捕获 日 志 并 将 日 志保 存 到 日 志 服 务 器 。 我 们 将 使 
用 Logstash Lo] 来 完成 这 件 事 。 我 们 先 来 创建 一 个 Logstash 镜 像 ， 如 代 
码 清单 6-56 所 示 。 


代码 清单 6-56 ”创建 Logstash 的 Dockerfile 


$ mkdir logstash 
$ cd logstash 


$ touch Dockerfile 


现在 我 们 来 看 看 这 个 Dockerfile 的 内 容 ， 如 代码 清单 6-57 所 示 。 


代码 清单 6-57 ”Logstash 镜 像 


FROM ubuntu:14.04 
MAINTAINER James Turnbull <james@example.com> 
ENV REFRESHED_AT 2014-06-01 
RUN apt-get -yqq update 
RUN apt-get -yqq install wget 
RUN wget -0 - http://packages.elasticsearch.org/GPG-KEY- 
elasticsearch | 
apt-key add - 
RUN echo ‘deb 
<a>http://packages.elasticsearch.org/logstash/1.4/debian</a> 


stable main' > /etc/apt/sources.list.d/logstash. list 
RUN apt-get -yqq update 
RUN apt-get -yqq install logstash 
ADD logstash.conf /etc/ 
WORKDIR /opt/logstash 
ENTRYPOINT [ "bin/logstash" ] 
CMD [ "--config=/etc/logstash.conf" ] 


我 们 已 经 创建 了 镜像 并 安装 了 Logstash， 然 后 将 logstash.conf X 


件 使 用 ADD 指令 添加 到 /etc/ 目录 。 现 在 我 们 来 看 看 
logstash.conf 文件 的 内 容 ， 如 代码 清单 6-58 所 示 。 


代码 清单 6-58 Logstashi 


input { 
file { 
type => "syslog" 
path => ["/var/log/nodeapp/nodeapp.log", "/var/log/redis/ 
redis-server.log"] 
} 


output { 
stdout { 
codec => rubydebug 


} 


} 


这 个 Logstash 配 置 很 简单 ， 它 监控 两 个 文件 ， 
Bl/var/log/nodeapp/nodeapp.1og 


也 置 文 人 


让 


#ll/var/log/redis/redis-server.log 。Logstash 会 一 直 监 视 这 
两 个 文件 ， 将 其 中 新 的 内 容 发 送 给 Logstash。 配 置 文件 的 第 二 部 分 是 
output 部 分 ， 接 受 所 有 Logstash 输 入 的 内 容 并 将 其 输出 到 标准 输出 
上 上。 现实 中 ， 一 般 会 将 Logstash 配 置 为 输出 到 Elasticsearch 集 群 或 者 其 
他 的 目的 地 ， 不 过 这 里 只 使 用 标准 输出 做 演示 ， 所 以 忽略 了 现实 的 细 
P e 


ETI 如 果 不 太 了 解 Logstash， 想 要 深入 学 习 可 以 参考 作者 的 书 016] 或 者 Logstash 文 档 Q71 。 


我 们 指定 了 工作 目录 为 /opt/Logstash 。 最 后 ， 我 们 指定 了 
~-ENTRYPOINTANbin/*> ”1ogstash， 并 且 指 定 了 CMD 为 - - 
config=/etc/logstash.conf。 这 样 容器 启动 时 会 启动 Logstash 
并 加 载 /etc/logstash .conf 配置 文件 。 


现在 我 们 来 构建 Logstash 镜 像 ， 如 代码 清单 6-59 所 示 。 


代码 清单 6-59 构建 Logstash 镜 像 


$ sudo docker build -t jamtur01/logstash . 


构建 好 镜像 后 ， 可 以 从 这 个 镜像 局 动 一 个 容器 ， 如 代码 清单 6-60 所 
ZR œ 


代码 清单 6-60 ”启动 Logstash 容 器 


$ sudo docker run -d --name logstash \ 
--volumes-from redis_primary \ 
--volumes-from nodeapp \ 


jamtur01/logstash 


我 们 成 功 地 启动 了 一 个 名 为 1ogstash 的 新 容器 ， 并 指定 了 两 次 - - 
volumes-from 标志 ， 分 别 挂 载 了 redis_primary 和 nodeapp 容 
器 的 卷 ， 这 样 就 可 以 访问 Redis 和 Node 的 日 志文 件 了 。 任 何 加 到 这 些 
日 志文 件 里 的 内 容 都 会 反映 在 logstash 容器 的 卷 里 ， 并 传 给 
Logstash 做 后 续 处 理 。 


现在 我 们 使 用 -f 标志 来 查看 1ogstash 容器 的 日 志 ， 如 代码 清单 6-61 
所 示 。 


代码 清单 6-61 logstash 容器 的 日 志 


$ sudo docker logs -f logstash 

{:timestamp=>"2014-06-26T00:41:53.273000+0000", :message=>"Using 
milestone 2 input plugin 'file'. This plugin should be stable, 
but if you see strange behavior, please let us know! For more 


information on plugin milestones, see http://logstash.net/docs 
/1.4.2-modified/plugin-milestones", :level=>:warn} 
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能 在 logstash 容器 的 输出 中 看 到 这 个 事件 ， 如 代码 清单 6-62 所 示 。 


代码 清单 6-62 ”Logstash 中 的 Node 事 件 


"message" => "63.239.94.10 - - [Thu, 26 Jun 2014 01:28:42 
GMT] \"GET /hello/frank HTTP/1.1\" 200 22 \"-\" \" 
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9 4) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome 
/35.0.1916.153 Safari/537.36\"", 

"@version" => "1", 


"@timestamp" => "2014-06-26T01:28:42.593Z", 
"type" => "syslog", 
"host" => "cfa96519ba54", 
"path" => "/var/log/nodeapp/nodeapp. log" 


现在 Node 和 Redis 容 需 都 将 日 志和 输出 到 了 Logstash。 在 生产 环境 中 ， 这 
些 事件 会 发 到 Logstash 服 务 器 并 存储 在 Elasticsearch 里 。 如 果 要 加 入 新 
的 Redis 副 本 容器 或 者 其 他 组 件 ， 也 可 以 很 容易 地 将 其 日 志 输 出 到 日 志 


my Aa 


Sag Ho 


本 如 有 果 需 要 ， 也 可 以 通过 卷 对 Redis 做 备份 。 
6.3.8 Node 程序 栈 的 小 结 


现在 我 们 已 经 演示 过 了 如 何 使 用 多 个 容器 组 成 应 用 程序 栈 ， 演 示 了 如 
何 使 用 Docker 链 接 来 将 应 用 容器 连 在 一 起 ， 还 演示 了 如 何 使 用 Docker 


卷 来 管理 应 用 中 各 种 数据 。 这 些 技术 可 以 很 容易 地 用 来 构建 更 加 复杂 
的 应 用 程序 和 架构 。 


6.4 不 使 用 SSH 管 理 Docker 容 器 


最 后 ， 在 结束 关于 使 用 Docker 运 行 服务 的 话题 之 前 ， 了 解 一 些 管理 
Docker 容 大 的 方法 以 及 这 些 方法 与 传统 管理 方法 的 区 别 征 很 重要 的 。 


传统 上 讲 ， 通 过 SSH 登 入 运行 环境 或 者 虚拟 机 里 来 管理 服务 。 在 
Docker 的 世界 里 ， 大 部 分 容 需 都 只 运行 一 个 进程 ， 所 以 不 能 使 用 这 种 
访问 方法 。 不 过 就 像 之 前 多 次 看 到 的 ， 其 实 不 需要 这 种 访问 : 可 以 使 
用 卷 或 者 链接 完成 大 部 分 同样 的 管理 操作 。 比 如 说 ， 如 果 服 务 通 过 某 
个 网 络 接口 做 管理 ， 就 可 以 在 启动 容器 时 公开 这 个 接口 ， 如 果 服 务 通 
过 Unix 套 接 字 (socket) 来 管理 ， 就 可 以 通过 卷 公开 这 个 套 接 字 。 如 
果 需 要 给 容器 发 送信 号 ， 就 可 以 像 代码 清单 6-63 所 示 那 样 使 用 docker 
kill 命 令 发 送信 号 。 


代码 清单 6-63 ”使 用 docker kill 发 送信 号 


$ sudo docker kill -s <signal> <container> 


这 个 操作 会 发 送 指定 的 信号 (如 HUP 信和 号， 给 容器 ， 而 不 古 杀 挥 容 
BR 。 


然而 ， 有 时 候 确 实 需要 登入 容器 。 即 便 如 此 ， 也 不 需要 在 容器 里 执行 
SSH 服 务 或 者 打开 任何 不 必要 的 访问 。 需 要 登入 容器 时， 可 以 使 用 一 
个 叫 nsenter 的 小 工具 。 


=a nsenter 一 般 适 用 于 Docker 1.2 或 者 更 早 的 版 本 。docker exec 命令 是 在 Docker 
EE 
1.3 中 引入 的 ， 赫 换 了 它 的 大 部 分 功能 。 


工具 nsenter 让 我 们 可 以 进入 Docker 用 来 构成 容器 的 内 核 命名 空间 。 
从 技术 上 说 ， 这 个 工具 可 以 进入 一 个 已 经 存在 的 命名 空间 ， 或 者 在 新 
的 一 组 命名 空间 里 执行 一 个 进程 。 人 简单 来 说 ， 使 用 nsenter 可 以 进入 
一 个 已 经 存在 的 容器 的 shell， 即 便 这 个 容器 没有 运行 SSH 或 者 任何 类 
似 的 的 守护 进程 。 可 以 通过 Docker 容 器 安装 nsenter ， 如 代码 清单 
6-64 所 示 。 


代码 清单 6-64 安装 nsenter 


$ sudo docker run -v /usr/local/bin:/target jpetazzo/nsenter 


这 会 把 nsenter 安装 到 /usr/local/bin 目录 下 ， 然 后 立刻 就 可 以 
使 用 这 个 命令 。 


E CAnsenter 也 可 能 由 所 使 用 的 Linux 发 行 版 (在 util1-1Linux 包 里 ) 提供 。 


为 了 使 用 nsenter ， 首 先 要 拿 到 要 进入 的 容器 的 进程 ID (PID) 。 可 
以 使 用 docker inspect 命令 获得 PID， 如 代码 清单 6-65 所 示 。 


代码 清单 6-65 ”获取 容器 的 进程 ID 


PID=$(sudo docker inspect --format '{{.State.Pid}}' <container>) 
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代码 清单 6-66 ”使 用 nsenter 进入 容 


I 
I 


$ sudo nsenter --target $PID --mount --uts --ipc --net --pid 


这 会 在 容 右 里 启动 一 个 shell， 而 不 需要 SSH 或 者 其 他 类 似 的 守护 进程 
或 者 进程 。 


我 们 还 可 以 将 想 在 容器 内 执行 的 命令 添加 在 nsenter 命令 行 的 后 面 ， 
如 代码 清单 6-67 所 示 。 


代码 清单 6-67 使 用 nsenter 在 容器 内 执行 命令 


$ sudo nsenter --target $PID --mount --uts --ipc --net --pid ls 


bin boot dev etc home lib 11b64 media mnt opt proc... 


IAE HMAT. 命令 。 


6.5 小结 


在 本 章 中 我 们 演示 了 如 何 使 用 Docker 容 器 构建 一 些 生产 用 的 服务 程 
序 ， 还 进一步 演示 了 如 何 构 建 多 容 絮 服务 并 管理 应 用 栈 。 本 草 的 例子 
将 Docker 链 接 和 卷 融合 在 一 起 ， 并 使 用 这 些 特性 提供 一 些 扩 展 的 功 
能 ， 比 如 记录 日 志和 备份 。 


在 下 一 章 中 我 们 会 演示 如 何 使 用 Docker Compose ` Docker Swarm 和 
Consul 工 具 来 对 Docker 进 行 编 瑟 。 


[1] http://jekyllrb.com/ 
[2] http://getbootstrap.com 
[3] http://docs.docker.com/engine/extend/plugins_volume/ 


[4] 


https://docs.docker.com/engine/reference/commandline/volume_create/ 
[5] http://aws.amazon.com/s3/ 

[6]  http://www.amanda.org 

[7] http://dockerbook.com/code/6/tomcat/tprov/ 


[8]  https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/tomcat/tprov 


[9] https://github.com/jamtur01/dockerbook- 
code/blob/master/code/6/tomcat/tprov/lib/tprov/app.rb 


[10] “完全 是 你 目 己 写 的 代码 一 一 我 很 喜欢 目 己 写 代 码 ， 而 不 是 直接 
用 别人 的 。 


[11] — http://dockerbook.com/code/6/node/ 


[12] — https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/node/ 


[13]  http://dockerbook.com/code/6/node/ 


[14] — https://github.com/jamtur01/dockerbook- 
code/tree/master/code/6/node/ 


[15] — http://logstash.net/ 
[16] http://www.logstashbook.com 


[17] — http:/Aogstash.net 


第 7 章 “”Docker 编 配 和 服务 发 


现 


编 配 (orchestration) 是 一 个 没有 严格 定义 的 概念 。 这 个 概念 大 概 描述 
了 自动 配置 、 协 作 和 管理 服务 的 过 程 。 在 Docker 的 世界 里 ， 编 配 用 来 
描述 一 组 实践 过 程 ， 这 个 过 程 会 管理 运行 在 多 个 Docker 容 器 里 的 应 

用 ， 而 这 些 Docker 容 器 有 可 能 运行 在 多 个 宿主 机 上 。Docker 对 编 配 的 
原生 支持 非常 弱 ， 不 过 整个 社区 围绕 编 配 开发 和 集成 了 很 多 很 棒 的 工 


aN 


在 现在 的 生态 环境 里 ， 已 经 围绕 Docker 构 建 和 集成 了 很 多 的 工具 。 一 
些 工具 只 是 简单 地 将 多 个 容 絮 快捷 地 “过 ”在 一 起 ， 使 用 人 简单 的 组 合 来 
构建 应 用 程序 栈 。 男 外 一 些 工 具 提 供 了 在 更 大 规模 多 个 Docker 答 主机 
上 进行 协作 的 能 力 ， 以 及 复杂 的 调度 和 执行 能 力 。 


刚才 提 到 的 这 些 领 域 ， 每 个 领域 都 值得 写 一 本 书 。 不 过 本 书 只 介绍 这 
些 领域 里 几 个 有 用 的 工具 ， 这 些 工具 可 以 让 读者 了 解 应 该 如 何 实 际 对 
容 缉 进行 编 配 。 和 硕 望 这 些 工 具 可 以 帮 读 者 构建 目 己 的 Docker 环 境 。 


本 章 将 关注 以 下 3 个 领域 。 


简单 的 容 絮 编 配 。 这 部 分 内 容 会 介绍 Docker Compose ° Docker 
Compose (之 前 的 Fig) 是 由 Orchard 团 队 开 发 的 开源 Docker 编 配 工 
具 ， 后 来 2014 年 被 Docker 公 司 收购 。 这 个 工具 用 Python 编写 ， 遵 
守 Apache 2.0 许 可 。 

分 布 式 服务 发 现 。 这 部 分 内 容 会 介绍 Consul。Consul 使 用 Go 语言 
开发 ， 以 MPL 2.0 许 可 授权 开源 。 这 个 工具 提供 了 分 布 式 且 高 可 
用 的 服务 发 现 功 能 。 本 书 会 展示 如 何 使 用 Consul 和 Docker 来 管理 
应 用 ， 发 现 相 关 服 务 。 

Docker 的 编 配 和 集群 。 在 这 里 我 们 将 会 介绍 Swarm。Swarm 是 一 
个 开源 的 、 基 于 Apache 2.0 许 可 证 发 布 的 软件 。 它 用 Go 语言 编 


写 ， 由 Docker 公 司 团 队 开 发 。 
ED 本 章 的 后 面 我 还 会 谈论 可 用 的 许多 其 他 的 编 配 工具 。 


7.1 Docker Compose 


现在 先 来 熟悉 一 下 Docker Compose。 使 用 Docker Compose, 可 以 用 一 
个 YAML 文 件 定 义 一 组 要 启动 的 容 磊 ， 以 及 容 磊 运行 时 的 属性 。 
Docker Compose 称 这 些 容 器 为 “服务 ”， 像 这 样 定义 : 

容 絮 通过 某 些 方法 并 指定 一 些 运行 时 的 属性 来 和 其 他 容 侨 产生 交互 。 


下 面 会 介绍 如 何 安装 Docker Compose， 以 及 如 何 使 用 Docker Compose 
构建 一 个 人 简单 的 多 容 絮 应 用 程序 栈 。 


7.1.1 ”安装 Docker Compose 


现在 开始 安 狠 Docker Compose ° Docker Compose 目 前 可 以 在 Linux、 
Windows 和 OS X 上 使 用 。 可 以 通过 直接 安装 可 执行 包 来 安装 ， 或 者 通 
过 Docker Toolbox 安 装 ， 也 可 以 通过 Python Pip 包 来 安装 。 


为 了 在 Linux 上 安装 Docker Compose， 可 以 从 GitHub 下 载 Docker 
Compose 的 可 执行 包 ， 并 让 其 可 执行 。 和 Docker 一 样 ，Docker 
Compose 目 前 只 能 安装 在 64 位 Linux 上。 可 以 使 用 cur1 命令 来 完成 安 
装 ， 如 代码 清单 7-1 所 示 。 


代码 清单 7-1 在 Linux 上 安装 Docker Compose 


$ sudo bash -c "curl -L https://github.com/docker/compose/ 
releases/download/1.5.0/docker-compose- uname -SS - uname -m > 
/usr/local/bin/docker -compose" 


$ sudo chmod +x /usr/local/bin/docker -compose 


这 个 命令 会 从 GitHub 下 载 docker -compose 可 执行 程序 并 安装 
到 /usr/local/bin 目录 中 。 之 后 使 用 chmod 命令 确保 可 执行 程序 
docker-compose 可 以 执行 。 


如 果 是 在 OS XE, Docker Toolbox 已 经 包含 了 Docker Compose, 2X4 
可 以 像 代 码 清单 7-2 所 示 这 样 进行 安装 。 


代码 清单 7-2 在 OS X 上 安装 Docker Compose 


$ sudo bash -c "curl -L https://github.com/docker/compose/ 
releases/download/1.5.0/docker -compose-Darwin-x86_64 > /usr/ 
local/bin/docker -compose" 


$ sudo chmod +x /usr/local/bin/docker -compose 


如 果 是 在 Windows 平 台 上 ， 也 可 以 用 Docker Toolbox， 里 面包 含 了 


Docker Compose ° 


如 果 是 在 其 他 平台 上 或 者 偏好 使 用 包 来 安装 ， Compose 了 世 避 以 作为 
fie ee 。 这 需要 预先 安装 Python-Pip 工 具 ， 保 证 存在 pip 命 

。 这 个 命令 在 大 部 分 Red Hat、Debian 或 者 Ubuntu 发 行 版 里 ， 都 可 以 
通 过 python-pip 包 安 装 ， 如 代码 清单 7-3 所 示 。 


代码 清单 7-3 ”通过 Pip 安 装 Docker Compose 


$ sudo pip install -U docker-compose 


安装 好 docker -compose 可 执行 程序 后 ， 就 可 以 通过 使 用 - - 
version 标志 调用 docker -compose 命令 来 测试 其 可 以 正常 工作 ， 
如 代码 清单 7-4 所 示 。 


代码 清单 7-4 测试 Docker Compose 是 否 工 作 


$ docker-compose --version 
docker-compose 1.5.0 


鲍 浊 如果 从 1.3.0 之 前 的 版 本 升级 而 来 ， 那 么 需要 将 容器 格式 也 升级 到 1.3.0 版 本 ， 这 可 以 通 
过 docker-compose migrate-to-labels 命令 来 实现 。 


7.1.2 ”获取 示例 应 用 


为 了 演示 Compose 是 如 何 工 作 的 ， 这 里 使 用 一 个 Python Flask 应 用 作为 
例子 ， 这 个 例子 使 用 了 以 下 两 个 容器 。 


。 MHIE, 运行 Python 示例 程序 ° 
。 Redis##s, Jat TRedisaiEe ° 


现在 开始 构建 示例 应 用 。 首 先 ， 创建 一 个 目录 并 创建 Dockerfile , 
如 代码 清单 7-5 所 示 。 


代码 清单 7-5 ”创建 composeapp 目录 


$ mkdir composeapp 
$ cd composeapp 


$ touch Dockerfile 


这 里 创建 了 一 个 叫 作 composeapp 的 目录 来 保存 示例 应 用 。 之 后 进入 
这 个 目录 ， 创 建 了 一 个 空 Dockerfile ， 用 于 保存 构建 Docker 镜 像 的 
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之 后 ， 需 要 添加 应 用 程序 的 源 代码 。 创 建 一 个 名 叫 app .py 的 文件 ， 
并 写 入 代码 清单 7-6 所 示 的 Python 代码 。 


代码 清单 7-6 app.py 文 件 


from flask import Flask 

from redis import Redis 

import os 

app = Flask(__name__) 

redis = Redis(host="redis_1", port=6379) 
@app.route('/') 

def hello(): 


redis.incr('hits') 
return 'Hello Docker Book reader! I have been seen {0} times' 
.format(redis.get('hits')) 
if _name == "__main_": 
app.run(host="0.0.0.0", debug=True) 


Ea 读者 可 以 在 GitHub |) 或 者 本 书 官网 P 找到 源 代码 。 


这 个 简单 的 Flask 应 用 程序 追踪 保存 在 Redis 里 的 计数 稻 。 每 次 访问 根 路 
径 / 时 ， 计 数 紫 会 目 增 。 


现在 还 需要 创建 requirements .txt 文件 来 保存 应 用 程序 的 依赖 关 
系 。 创 建 这 个 文件 ， 并 加 入 代码 清单 7-7 列 出 的 依赖 。 


代码 清单 7-7 requirements.txt 文件 


flask 
redis 


现在 来 看 看 Dockerfile ， 如 代码 清单 7-8 所 示 。 


代码 清单 7-8 composeapp 的 Dockerfile 


# Compose 示 例 应 用 的 镜像 

FROM python:2.7 

MAINTAINER James Turnbull <james@example.com> 
ADD . /composeapp 


WORKDIR /composeapp 
RUN pip install -r requirements.txt 


这 个 Dockerfile 很 简单 。 它 基于 python :2.7 镜像 构建 。 首 先 添加 
文件 app .py 和 requirements.txt 到 镜像 中 的 /composeapp A 
录 。 之 后 Dockerfile 将 工作 目录 设置 为 /composeapp ， 并 执行 
pip 命令 来 安装 应 用 的 依赖 ，flask 和 redis 。 


使 用 docker build 来 构建 镜像 ， 如 代码 清单 7-9 所 示 。 


代码 清单 7-9 构建 composeapp 应 用 


$ sudo docker build -tjamturO01/composeapp . 
Sending build context to Docker daemon 16.9 kB 
Sending build context to Docker daemon 
Step 0 : FROM python:2.7 
---> 1c8df2f0c10b 
Step 1 : MAINTAINER James Turnbull <james@example.com> 
---> Using cache 
---> aa564fe8be5a 
Step 2 : ADD . /composeapp 
---> c33aa147e19f 
Removing intermediate container 0097bc79d37b 
Step 3 : WORKDIR /composeapp 
---> Running in 76e5ee8544b3 
---> d9da3105746d 


Removing intermediate container 76e5ee8544b3 
Step 4 : RUN pip install -r requirements.txt 
---> Running in e71d4bb33fd2 
Downloading/unpacking flask (from -r requirements.txt (line 1)) 


Successfully installed flask redis Werkzeug Jinja2 itsdangerous 
markupsafe 
Cleaning up... 
---> bf0fe6a69835 
Removing intermediate container e71d4bb33fd2 
Successfully built bf0fe6a69835 


这 样 就 创建 了 一 个 名 叫 jamtur061/composeapp 的 容器 ， 这 个 容器 
包含 了 示例 应 用 和 应 用 需要 的 依赖 。 现 在 可 以 使 用 Docker Compose 来 


部 车 应 用 了 。 


EZI 之 后 会 人 Docker Hub 上 的 默认 Redis 镜 像 直接 创建 Redis 容 器 ， 这 样 就 不 需要 重新 构建 
或 者 定制 Redis 容 器 了 。 


7.1.3 docker-compose.yml 文件 


现在 应 用 镜像 已 经 构建 好 了 ， 可 以 配置 Compose 来 创建 需要 的 服务 

了 。 在 Compose 中 ， 我 们 定义 了 一 组 要 启动 的 服务 (以 Docker 容 器 的 
形式 表现 ) ， 我 们 还 定义 了 我 们 希望 这 些 服 务 要 启动 的 运行 时 属性 ， 
这 些 属性 和 docker run 命令 需要 的 参数 类 似 。 将 所 有 与 服务 有 关 的 
属性 都 定义 在 一 个 YAML 文 件 里 。 之 后 执行 docker-compose up fig 
令 ，Compose 会 局 动 这 些 容器 ， 使 用 指定 的 参数 来 执行 ， 并 将 所 有 的 
日 志 输 出 合并 到 一 起 。 


先 来 为 这 个 应 用 创建 docker -compose .yml 文件 ， 如 代码 清单 7-10 
所 示 。 


代码 清单 7-10 创建 docker -compose.yml 文件 


$ touch docker-compose.yml 


现在 来 看 看 docker -compose .yml 文件 的 内 容 。docker - 
compose .yml 是 YAML 格 式 的 文件 ， 包 括 了 一 个 或 者 多 个 运行 


人 。 现 在 来 看 看 示例 应 用 使 用 的 指令 ， 如 代码 清单 7- 
11PTZAN ° 


代码 清单 7-11 docker-compose.yml 文件 


web: 
image: jamtur01/composeapp 
command: python app.py 
ports: 
- "5000:5000" 
volumes: 
- .:/composeapp 


image: redis 


每 个 要 启动 的 服务 都 使 用 一 个 YAML 的 散 列 键 定 义 : web 和 redis 。 


对 于 web 服务 ， 指 定 了 一 些 运行 时 参数 。 首 先 ， 使 用 image 指定 了 要 

使 用 的 镜像 : jamturO1/composeapp 镜像 。Compose 也 可 以 构建 

Docker 镜 像 。 可 以 使 用 build 指令 ， 并 提供 一 个 到 Dockerfile 的 路 

: ail 并 使 用 这 个 镜像 创建 服务 ， 如 代码 清 
7-12FTAN ° 


代码 清单 7-12 build 指令 的 示例 


web: 
build: /home/james/composeapp 


这 个 build 指令 会 使 用 /home/james/composeapp 目录 下 的 
Dockerfile 来 构建 Docker 镜 像 。 


我 们 还 使 用 command 指定 服务 启动 时 要 执行 的 命令 。 接 下 来 使 用 
ports 和 volumes 指定 了 我 们 的 服务 要 映射 到 的 端口 和 卷 ， 我 们 让 服 
务 里 的 5000 端 口 映 射 到 主机 的 5000 端 口 ， 并 创建 了 卷 /composeapp 

o 最 后 使 用 Links 指定 了 要 连接 到 服务 的 其 他 服务 : redis 服务 连 
接 到 web 服务 。 


如 果 想 用 同样 的 配置 ， 在 代码 行 中 使 用 docker run 执行 服务 ， 需 要 
像 代码 清单 7-13 所 示 这 么 做 。 


DI 


代码 清单 7-13 ”同样 效果 的 docker run 命令 


$ sudo docker run -d -p 5000:5000 -v .:/composeapp --link 
redis:redis \ 


--name jamtur01/composeapp python app.py 


之 后 指定 了 男 一 个 名 叫 redis 的 服务 。 这 个 服务 没有 指定 任何 运行 时 
的 参数 ， 一 切 使 用 默认 的 配置 。 之 前 也 用 过 这 个 redis 镜像 ， 这 个 镜 
ae 年 标准 端口 上 局 动 一 个 Redis 数 据 库 。 这 里 没 必 要 修改 这 个 默 
认 配 


E 可 以 在 Docker Compose E W B] 查看 docker -compose.yml 所 有 可 用 的 指令 列表 。 


7.1.4 ”运行 Compose 


一 旦 在 docker -compose . yml 中 指定 了 需要 的 服务 ， 就 可 以 使 用 
docker-compose up 命令 来 执行 这 些 服务 ， 如 代码 清单 7-14 所 示 。 


代码 清单 7-14 使 用 docker -compose up 启动 示例 应 用 服务 


$ cd composeapp 
$ sudo docker-compose up 
Creating composeapp_redis_1... 
Creating composeapp_web_1. 
Attaching to composeapp_ redis_ 1, aa web_1 
redis 1 | | °-._’-. -. | 
redis 1 | 
redis 1 | 
redis 1 | : 
redis 1 | `s. p=" 
| z 
| 
| 


~ ` 1 1 
me M .i el 
` ` ` 


redis_1 
redis_ 1 
redis 1 
2.8.13 
redis_1 | [1] 13 Aug 01:48:32.218 # WARNING overcommit_memory is 
set to 

©! Background save may fail under low memory condition. To fix 
this 

issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then 
reboot 


[1] 13 Aug 01:48:32.218 # Server started, Redis version 


or run the command ‘sysctl vm.overcommit_memory=1' for this to 
take effect. 
redis_1 | [1] 13 Aug 01:48:32.218 * The server is now ready to 


accept 

connections on port 6379 

web_1 | * Running on http://0.0.0.0:5000/ 
web_1 | * Restarting with reloader 


Esa 必须 在 docker-compose.yml 文件 所 在 的 目录 执行 大 多 数 Compose 命 令 。 


可 以 看 到 Compose 创 建 了 composeapp_redis_1 和 
composeapp_web_1 这 两 个 新 的 服务 。 那 么 ， 这 两 个 名 字 是 从 哪儿 
RAVE? 为 了 保证 服务 是 唯一 的 ，Compose 将 docker - 

compose . yml 文件 中 指定 的 服务 名 字 加 上 了 目录 名 作为 前 级 ， 并 分 
别 使 用 数字 作为 后 级。 


Compose 之 后 接管 了 每 个 服务 输出 的 日 志 ， 输 出 的 日 志 每 一 行 都 使 用 
缩短 的 服务 名 字 作为 前 缀 ， 并 区 符 输 出 在 一 起 ， 如 代码 清单 7-15 所 
ZR œ 


i" 


代码 清单 7-15 “Compose 服 务 输出 的 日 志 


redis_1 | [1] 13 Aug 01:48:32.218 # Server started, Redis version 
2.8.13 


服务 (AlCompose) 交 殖 运行 。 这 意味 着 ， 如 果 使 用 Ctrl1L+C 来 停止 
Compose 运 行 ， 也 会 停止 运行 的 服务 。 也 可 以 在 运行 Compose 时 指定 - 
d 标志 ， 以 守护 进程 的 模式 来 运行 服务 (类 似 于 docker run -d 标 
志 ) ， 如 代码 清单 7-16 所 示 。 


代码 清单 7-16 ”以 守护 进程 方式 运行 Compose 


$ sudo docker-compose up -d 


来 看 看 现在 宿主 机 上 运行 的 示例 应 用 。 这 个 应 用 绑 定 在 宿主 机 所 有 网 
络 接口 的 5000 端 口上 ， 也 以 全 以 使 用 宿 宇 机 的 外 或 者 通 过 localhost 
来 浏览 该 网 站 。 


e GC [À docker.example.com:5000 


Hello Docker Book reader! I have been seen 1 times 


e (E docker.example.com:5000 


Hello Docker Book reader! I have been seen 1 times 


图 7-1 ”Compose 示 例 应 用 


可 以 看 到 这 个 页 面 上 显示 了 当前 计数 希 的 值 。 刷 新 网 站 ， 会 看 到 这 个 
值 在 增加 。 每 次 刷新 都 会 增加 保存 在 Redis 里 的 值 。Redis 更 新 是 通过 
由 Compose 欣 制 的 Docker 容 喜之 间 的 链接 实现 的 。 


ESD 在 默认 情况 下 ，Compose 会 试图 连接 到 本 地 的 Docker 守 护 进 程 ， 不 过 也 会 受到 
DOCKER_`` ~ HOST 环境 变量 的 影响 ， 去 连接 到 一 个 远程 的 Docker 宿 主机 。 


7.1.5 ”使 用 Compose 


现在 来 看 看 Compose 的 其 他 选项 。 首 先 ， 使 用 CtrlL+C 关闭 正在 运行 
的 服务 ， 然 后 以 守护 进程 的 方式 启动 这 些 服务 。 


在 composeapp 目录 下 按 Ctrl+C ， 之 后 使 用 -d 标志 重新 运行 
docker-compose up 命令 ， 如 代码 清单 7-17 所 示 。 


代码 清单 7-17 使 用 守护 进程 模式 重启 Docker Compose 


$ sudo docker-compose up -d 
Recreating composeapp_redis 1... 
Recreating composeapp_web_1... 


gl 


可 以 看 到 Docker Compose 重 新 创建 了 这 些 服务 ， 局 动 它们 ， 最 后 返回 
到 命令 行 。 


现在 ， 在 宿主 机 上 以 守护 进 THEI AA T V Docker oe 理 的 
服务 。 使 用 docker -compose ps 命令 (docker ps 命令 的 近亲 ) 
可 以 查看 这 些 服 务 的 运行 状态 。 


销 于 执行 docker -compose help 加 上 想 要 了 解 的 命令 ， 可 以 看 到 相关 的 Compose 帮 
助 ， 比 如 docker-compose help ps 命令 可 以 看 到 与 ps 相关 的 帮助 。 


docker-compose ps 命令 列 出 了 本 地 docker-compose.yml 文件 
里 定义 的 正在 运行 的 所 有 服务 ， 如 代码 清单 7-18 所 示 。 


代码 清单 7-18 运行 docker-compose ps 命令 


$ cd composeapp 
$ sudo docker-compose ps 
Command 


composeapp_redis 1 redis-server 6379/tcp 
composeapp_web_1 python app.py Up 5000->5000/tcp 


这 个 命令 展示 了 正在 运行 的 Compose 服 务 的 一 些 基 本 信息 : 每 个 服务 
的 名 字 、 局 动 服务 的 命令 以 及 每 个 服务 映射 到 的 端口 。 


还 可 以 使 用 docker -compose logs 命令 来 进一步 查看 服务 的 日 志 
事件 ， 如 代码 清单 7-19 所 示 。 


代码 清单 7-19 ”显示 Docker Compose 服 务 的 日 志 


$ sudo docker-compose logs 
docker-compose logs 
Attaching to composeapp_ redis_1, _ composeapp_' web_1 


redis 1 | ( ，- | ~ ) Running in stand 
alone mode 


redis 1 | ‘Ais Se ee sas ag ` _.-'| Port: 6379 
redis 1 | | ‘es, : : | PID: 1 


这 个 命令 会 追踪 服务 的 日 志文 件 ， 很 类 似 tail -f 命令 。 与 tail - 
命令 一 样 ， 想 要 退出 可 以 使 用 Ctrl+C 。 


使 用 docker -compose stop 命令 可 以 停止 正在 运行 的 服务 ， 如 代 
码 清单 7-20 所 示 。 


代码 清单 7-20 ”停止 正在 运行 的 服务 


$ sudo docker-compose stop 
Stopping composeapp_web_1... 


Stopping composeapp_redis 1... 


这 个 命令 会 同时 停止 两 个 服务 。 如 果 该 服务 没有 停止 ， 可 以 使 用 
docker-compose kill 命令 强制 杀 死 该 服务 。 


现在 可 以 用 docker -compose ps 命令 来 验证 服务 确实 停止 了 ， 如 代 
码 清单 7-21 所 示 。 


代码 清单 7-21 验证 Compose 服 务 已 经 停止 了 


$ sudo docker-compose ps 
Command 


composeapp_redis_1 redis-server Exit 0 
composeapp_web_1 python app.py Exit 0 


如 果 使 用 docker-compose stop 或 者 docker-compose kill fit 
令 停 止 服务 ， 还 可 以 使 用 docker -compose start 命令 重新 启动 这 
些 服 务 。 这 与 使 用 docker start 命令 重启 服务 很 类 似 。 


最 后 ， 可 以 使 用 docker -compose rm 命令 来 删除 这 些 服务 ， 如 代码 
清单 7-22 所 示 。 


代码 清单 7-22 ”删除 Docker Compose 服 务 


$ sudo docker-compose rm 
Going to remove composeapp_redis_1, composeapp_web_1 
Are you sure? [yN] y 


Removing composeapp_redis_1... 
Removing composeapp_web_1... 


首先 会 提示 你 确认 需要 删除 服务 ， 确 认 之 后 两 个 服务 都 会 被 删除 。 
docker-compose ps 命令 现在 会 显示 没有 运行 中 或 者 已 经 停止 的 服 
务 ， 如 代码 请 单 7-23 所 示 。 


代码 清单 7-23 ”显示 没有 Compose 服 务 


$ Sudo docker-compose ps 
Command State Ports 


7.1.6 ”Compose 小 结 


现在 ， 使 用 一 个 文件 就 可 以 构建 好 一 个 简单 的 Python-Redis 栈 ! 可 以 看 
出 使 用 这 种 方法 能 够 非常 简单 地 构建 一 个 需要 多 个 Docker 容 器 的 应 用 
程序 。 而 这 个 例子 ， 只 展现 了 Compose 最 表层 的 能 力 。 在 Compose 官 
网 上 有 很 多 例子 ， 比 如 使 用 Rails 4! + Django Bl 和 Wordpress [1 ， 来 展 
AN A 。 还 可 以 将 Compose 与 提供 图 形 化 用 户 界 面 的 Shipyard 
外 一 起 使 用 。 


ESN 在 Compose 官 网 [0 可 以 找到 完整 的 命令 行 参考 手册 。 
7.2 ”Consul、 服 务 发 现 和 Docker 


服务 发 现 是 分 布 式 应 用 程序 之 间 管 理 相互 关系 的 一 种 机 制 。 一 个 分 布 
式 程 序 一 般 由 多 个 组 件 组 成 。 这 些 组件 可 以 都 放 在 一 台 机 器 上 ， 也 可 
以 分 布 在 多 个 数据 中 心 ， 甚 至 分 布 在 不 同 的 地 理 区 域 。 这 些 组 件 通常 
可 以 为 其 他 组 件 提供 服务 ， 或 者 为 其 他 组 件 消 费 服 务 。 


服务 发 现 人 允许 某 个 组 件 在 想 要 与 其 他 组 件 交 互 时 ， 目 动 找到 对 方 。 由 
于 这 些 应 用 本 映 是 分 布 式 的 ， 服 务 发 现 机 制 也 需要 是 分 布 式 的 。 而 
且 ， 服 务 发 现 作 为 分 布 式 应 用 不 同 组 件 之 间 的 “胶水 ”， 其 本 号 还 需要 
` 可 靠 ， 适 应 性 强 ， 而 且 可 以 快速 且 一 怪 地 共 至 天 于 这 些 服 
ban š 


AIN, Docker ZRIED H AK E AR SUR RY o 
这 些 关 注 点 很 适合 与 某 个 服务 发 现 工具 集 成 。 每 个 Docker 容 右 可 以 将 


其 中 运行 的 服务 注册 到 服务 发 现 工具 里 。 注 册 的 信息 可 以 是 IP 地 址 或 
者 端口 ， 或 者 两 者 都 有 ， 以 便服 务 之 间 进 行 交 互 。 


这 本 书 使 用 Consul P 作为 服务 发 现 工具 的 例子 。Consu 是 一 个 使 用 一 
致 性 算法 的 特殊 数据 存储 器 。Consul 使 用 Raft HO 一 致 性 算法 来 提供 确 
定 的 写 入 机 制 。Consul 和 又 露 了 键 值 存 储 系 统 和 服务 分 类 系统 ， 并 提供 
高 可 用 性 、 高 容错 能 力 ， 并 保证 强 一 致 性 。 服 务 可 以 将 目 己 注册 到 
Consul， 并 以 高 可 用 且 分 布 式 的 方式 共享 这 些 信 息 。 


Consul 还 提供 了 一 些 有 趣 的 功能 。 


。 提供 了 根据 API 进 行 服务 分 类 ， 代 替 了 大 部 分 传统 服务 发 现 工 具 
的 键 值 对 存储 。 

。 提供 两 种 接口 来 查询 信息 : 基于 内 置 的 DNS 服务 的 DNS 查询 接口 
和 基于 HTTP 的 REST API 查 询 接口 。 选 择 合适 的 接口 ， 尤 其 是 基 
于 DNS 的 接口 ， 可 以 很 方便 地 将 Consu 与 现 有 环境 集成 。 

° ee 也 称 作 健康 监控 。Consu 内 置 了 强大 的 服务 监 
ERIL? 


为 了 更 好 地 理解 Consu 是 如 何 工 作 的 ， 本 章 先 介绍 如 何在 Docker 容 需 
里 分 布 式 运行 Consul。 之 后 会 从 Docker 容 器 将 服务 注册 到 Consul， 并 
从 其 他 Docker 容 絮 访 问 注 册 的 数据 。 为 了 更 有 挑战 ,会 让 这 些 容 姨 运 
行 在 不 同 的 Docker 答 主机 上 。 
为 了 做 到 这 些 ， 需 要 做 到 以 下 几 点 。 
。 创建 Consu 服 务 的 Docker 镜 像 。 
。 构建 3 台 运 行 Docker 的 答 主 机 ， 并 在 每 台 上 运行 一 个 Consul 。 这 3 
台 答 主机 会 提供 一 个 分 布 式 环境 ， 来 展现 Consul 如 何 处 理 弹 性 和 


失效 工作 的 。 
。 构建 服务 ， 并 将 其 注册 到 Consul， 然 后 从 其 他 服务 查询 该 数据 。 


E33 可 以 在 http:/www.consul.io/intro/index.html 找到 对 Consul 更 通用 的 介绍 。 
7.2.1 构建 Consul 镜 像 


首先 创建 一 个 Dockerfile 来 构建 Consul 镜 像 。 先 来 创建 用 来 保存 
Dockerfile 的 日 隶 ， 如 代码 清单 7-24 所 示 。 


代码 清单 7-24 创建 目录 来 保存 Consul 的 Dockerfile 


$ mkdir consul 
$ cd consul 


$ touch Dockerfile 


现在 来 看 看 用 于 Consul 镜 像 的 Dockerfile 的 内 容 ， 如 代码 清单 7-25 
所 示 。 


代码 清单 7-25 Consul Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull <james@example.com> 

ENV REFRESHED_AT 2014-08-01 

RUN apt-get -qqy update 

RUN apt-get -qqy install curl unzip 

ADD https://dl.bintray.com/mitchellh/consul/0.3.1_linux_amd64.zip 
/tmp/consul.zip 

RUN cd /usr/sbin && unzip /tmp/consul.zip && chmod +x /usr/sbin/ 
consul && rm /tmp/consul.zip 

ADD https://dl.bintray.com/mitchellh/consul/0.3.1_web_ui.zip 
/tmp/webui.zip 

RUN cd /tmp/ && unzip webui.zip && mv dist/ /webui/ 

ADD consul.json /config/ 

EXPOSE 53/udp 8300 8301 8301/udp 8302 8302/udp 8400 8500 

VOLUME ["/data"] 

ENTRYPOINT [ "/usr/sbin/consul", "agent", "-config-dir=/config" ] 
CMD [] 


这 个 Dockerfile 很 简单 。 它 是 基于 Ubuntu 14.04 镜 像 ， 它 安装 了 
curl 和 unzip 。 然 后 我 们 下 载 了 包含 consul 可 执行 程序 的 zip 文 
件 。 将 这 个 可 执行 文件 移动 到 /usr/sbin 并 修改 属性 使 其 可 以 执 
行 。 我 们 还 下 载 了 Consul 网 页 界面 ， 将 其 放 在 名 为 /webui 的 目录 
里 。 一 会 儿 束 会 看 到 这 个 界面 。 


之 后 将 Consul 配 置 文件 consul .json 添加 到 /config 目录 。 现 在 来 
看 看 配置 文件 的 内 容 ， 如 代码 清单 7-26 所 示 。 


代码 清单 7-26 consul.json 配置 文件 


{ 
"data_dir": "/data", 


"ui_dir": "/webui", 
"client_addr": "0.0.0.0", 
"ports": { 

"dns": 53 


了 
"recursor": "8.8.8.8" 


consul. json 配置 文件 是 做 过 JSON 格 式 化 后 的 配置 ， 提 供 了 Consul 
运行 时 需要 的 信息 。 我 们 首先 指定 了 数据 目录 /data 来 保存 Consul 的 
数据 ， 之 后 指定 了 网 页 界面 文件 的 位 置 : /webui ° WE 
client_addr 变量 ， 将 Consu 绑 定 到 容器 内 的 所 有 网 页 界面 。 


之 后 使 用 ports 配置 Consul 服 务 运行 时 需要 的 端口 。 这 里 指定 Consul 
的 DNS 服务 运行 在 53 端 口 。 之 后 ， 使 用 recursor 选项 指定 了 DNS 服 
务 器 ， 这 个 服务 器 会 用 来 解析 Consul 无 法 解析 的 DNS 请 求 。 这 里 指定 
的 8.8.8.8 是 Google 的 公共 DNS 服务 HH 的 一 个 IP 地 址 。 


Ea 可 以 在 http://www.consulio/docs/agentoptions.html 找到 所 有 可 用 的 Consul 配 置 选项 。 


回 到 之 前 的 Dockerfile ， 我 们 用 EXPOSE 指令 打开 了 一 系列 端口 ， 
这 些 端 口 是 Consul 运 行 时 需要 操作 的 端口 。 表 7-1 列 出 了 每 个 端口 的 用 


表 7-1Consul 的 默认 端口 


RR 
Ei 


服务 器 RPC 
Serf ALAN YG O 
Serf 的 WAN 端 口 


8400 RPC 接 入 点 
8500 HTTP API 


就 本 章 的 目的 来 说 ， 不 需要 关心 表 7-1 里 的 大 部 分 内 容 。 比 较 重 要 的 是 
53/udp 端口 ，Consul 会 使 用 这 个 端口 运行 DNS。 之 后 会 使 用 DNS 来 
获取 服务 信息 。 另 一 个 要 关注 的 是 8500 端口 ， 它 用 于 提供 HTTP API 
和 网 页 界面 。 其 余 的 端口 用 于 处 理 后 台 通 信 ， 将 多 个 Consul 闻 点 组 成 
集群 。 之 后 我 们 会 使 用 这 些 端口 配置 Docker 容 器 ， 但 并 不 深究 其 用 

oR o 


E33 可 以 在 http:/www.consul.io/docs/agentoptions.html 找到 每 个 端口 更 详细 的 信息 。 


之 后 ， 使 用 VOLUME 指令 将 /data 目录 设置 为 卷 。 如 果 看 过 第 6 章 ， 
束 知 道 这 样 可 以 更 方便 地 管理 和 处 理 数 据 。 


最 后 ， 使 用 ENTRYPOINT 指令 指定 从 镜像 启动 容器 时 ， 启 动 Consul 服 
务 的 consul 可 执行 文件 。 


现在 来 看 看 使 用 的 命令 行 选项 。 首 先 我 们 已 经 指定 了 consul 执行 文 
件 所 在 的 目录 为 /usr/sbin/。 参 数 agent 告诉 Consul 以 代理 节点 的 
模式 运行 ，-config-dir 标志 指定 了 配置 文件 consul .json 所 在 
的 目录 是 /config ° 


现在 来 构建 镜像 ， 如 代码 清单 7-27 所 示 。 


代码 清单 7-27 构建 Consul 镜 像 


$ sudo docker build -t="jamtur@1/consul" . 


EFS Fy yy 2) 或 者 GitHub "3! 获得 Consul 的 Dockerfile 以 及 相关 的 配置 文件 。 


7.2.2 ”在 本 地 测试 Consul 容 器 


在 多 个 答 主 机 上 运行 Consul 之 前 ， 先 来 看 看 在 本 地 单独 运行 一 个 
Consul 的 情况 。 从 jamtur01/consul 镜像 启动 一 个 容器 ， 如 代码 清 
单 7-28 所 示 。 


代码 清单 7-28 执行 一 个 本 地 Consul 节 点 


$ sudo docker run -p 8500:8500 -p 53:53/udp \ 
-h node1 jamtur@1/consul -server -bootstrap 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Consul agent running! 
Node name: 'node1' 
Datacenter: 'dc1' 


2014/08/25 21:47:49 [WARN] raft: Heartbeat timeout reached, 
starting election 

2014/08/25 21:47:49 [INFO] raft: Node at 172.17.0.26:8300 
[Candidate] 

entering Candidate state 

2014/08/25 21:47:49 [INFO] raft: Election won. Tally: 1 
2014/08/25 21:47:49 [INFO] raft: Node at 172.17.0.26:8300 [Leader ] 
entering Leader state 

2014/08/25 21:47:49 [INFO] consul: cluster leadership acquired 
2014/08/25 21:47:49 [INFO] consul: New leader elected: node1 
2014/08/25 21:47:49 [INFO] consul: member "node1' joined, marking 
health alive 


使 用 docker run 创建 了 一 个 新 容器 。 这 个 容器 映射 了 两 个 端口 ， 容 
器 中 的 8500 端口 映射 到 了 主机 的 8500 端口 ， 容 器 中 的 53 端口 映射 
到 了 主机 的 53 端口 。 我 们 还 使 用 -h 标志 指定 了 容器 的 主机 名 node 

° 这 个 名 字 也 是 Consul 节 点 的 名 字 。 之 后 我 们 指定 了 要 局 动 的 Consul 
镜像 jamtur01/consul 。 


最 后 ， 给 consul 可 执行 文件 传递 了 两 个 标志 : -server 和 - 

bootstrap。 标 志 -server 告诉 Consul 代 理 以 服务 器 的 模式 运行 ， 
标志 -bootstrap 告诉 Consul 本 市 点 可 以 自选 举 为 集群 领导 者 。 这 个 
参数 会 让 本 市 点 以 服务 絮 模 式 运 行 ， 并 可 以 执行 Raft 领 导 者 选举 。 


= 站 有 一 点 很 重要 每 个 数据 中 心 最 多 只 有 一 台 Consul 服 务 器 可 以 用 自 启动 (bootstrap) 
模式 运行 。 否 则 ， 如 果 有 多 个 可 以 进行 自选 举 的 节点 ， 整 个 集群 无 法 保证 一 致 性 。 后 面 将 其 


m 


他 节点 加 入 集群 时 会 介绍 更 多 的 相关 信息 。 


可 以 看 到 ，Consul 启 动 了 nodel 下 点 ， 并 在 本 地 进行 了 领导 者 选举 。 
因为 没有 别 的 ConsulT 点 运行 ， 刚 局 动 的 节点 也 没有 其 余 的 连接 动 


还 可 以 通过 Consul 网 页 界面 来 查看 六 点 情况 ， 在 浏 距 右 里 打开 本 地 JP 
的 8500 端口 。 


€ Cc docker.example.com:8500/ui/#/dcl/services 


any status 


图 7-2” Consul iA 


7.2.3 ”使 用 Docker 运 行 Consul 集 群 


由 于 Consul 是 分 布 式 的 ， 通 常 可 以 简单 地 在 不 同 的 数据 中 心 、 云 服务 
商 或 者 不 同 地 区 创建 3 个 (或 者 更 多 ) 服务 器 。 甚 至 给 每 个 应 用 服务 器 
添加 一 个 Consul 代 理 ， 以 保证 分 布 服 务 具 有 足够 的 可 用 性 。 本 章 会 在 3 
个 运行 Docker 守 护 进 程 的 答 主 机 上 运行 Consul， 来 模拟 这 种 分 布 环 

境 。 首 先 创建 3 个 Ubutnu 14.04 答 主机 : larry 、curly 和 moe 。 
个 主机 上 都 已 经 安装 了 Docker 守 护 进程 ， 之 后 拉 取 
jamtur01/consul 镜像 ， 如 代码 清单 7-29 所 示 。 


ES 要 安 装 Dodker 可 以 使 用 第 2 章 中 介绍 的 安装 指令 。 


代码 清单 7-29” 拉 取 Consul 镜 像 


$ sudo docker pull jamtur01/consul 


在 每 台 宿 主机 上 都 使 用 jamtur91/consul 镜像 运行 一 个 Docker 容 
磊 。 要 做 到 这 一 点 ， 首 先 需 要 选择 运行 Consu 的 网 络 。 大 部 分 情况 
了 这 


这 个 网 络 应 该 是 个 私有 网 络 ， 不 过 既然 是 模拟 Consul 集 群 ， 这 里 
用 每 台 宿 主机 上 的 公共 接口 ， 让 Consul 运 行 在 一 个 公共 网 络 上 上 。 这 


As 22 BEA Tg EN ERR AAHRPP © XS HEHEHE Consul {CHE EA 
定 到 的 地 址 。 


首先 来 获取 larry 的 公共 IP 地 址 ， 并 将 这 个 地 址 赋值 给 环境 变量 
$PUBLIC_IP ， 如 代码 清单 7-30 所 示 。 


代码 清单 7-30 给 Larry 主机 设置 公共 IP 地 址 


larry$ PUBLIC_IP="$(ifconfig ethO | awk -F ' *|:' '/inet addr/{ 
print $4}')" 
larry$ echo $PUBLIC_IP 


104.131.38.54 


之 后 在 curly 和 moe 上 创建 同样 的 $PUBLIC_IP 变量 ， 如 代码 清单 7- 
31 所 示 。 


代码 清单 7-31 ”在 curly 和 moe 上 设置 公共 IP 地 址 


curly$ PUBLIC_IP="$(ifconfig ethO | awk -F ' *|:' '/inet 
addr/{print $4}')" 

curly$ echo $PUBLIC_IP 

104.131.38.55 

moe$ PUBLIC_IP="$(ifconfig ethO | awk -F ' *|:' '/inet addr/{print 
$4}')" 

moe$ echo $PUBLIC_IP 

104.131.38.56 


现在 3 台 窒 主机 有 3 个 IP 地 址 (如 表 7-2 所 示 ) ， 每 个 地 址 都 赋值 给 了 
$PUBLIC_IP 环境 变量 。 


表 7-2 Consul 答 主机 IP 地 址 


o 
es 


104.131.38.56 


现在 还 需要 指定 一 台 宿 主机 为 自 启 动 的 主机 ， 来 启动 整个 集群 。 这 里 
指定 larry 主机 。 这 意味 着 ， 需 要 将 larry 的 IP 地 址 告诉 curly 和 
moe ， 以 便 让 后 两 个 宿主 机 知道 要 连接 到 Consul 节 点 的 哪个 集群 。 现 
在 将 larry 的 IP 地 址 104.131.38.54 添加 到 宿主 机 curly 和 moe 的 
环境 变量 $JOIN_IP ， 如 代码 清单 7-32 所 示 。 


代码 清单 7-32 ”添加 集群 IP 地 址 


curly$ JOIN_IP=104.131.38.54 
moe$ JOIN _IP=104.131.38.54 


最 后 ， 修 改 每 台 特 主机 上 的 Docker 守 护 进 程 的 网 络 配置 ， 以便 更 容易 
使 用 Consul。 将 Docker 守 护 进程 的 DNS 查找 设置 为 : 


。 本 地 Docker 的 IP 地 址 ， 以 便 使 用 Consul 来 解析 DNS:; 
。 Google 的 DNS 服 务 地 址 ， 来 解析 其 他 请 求 ; 
。 为 Consul 查 询 指 定 搜 索 域 。 


要 做 到 这 一 点 ， 首 先 需要 知道 Docker 接 口 dockerg 的 IP 地 址 ， 如 代码 
清单 7-33 所 示 。 


代码 清单 7-33 ”获取 dockerg 的 IP 地 址 


larry$ ip addr show docker0 
3: docker0: <BROADCAST, MULTICAST, UP,LOWER UP> mtu 1500 qdisc 
noqueue 
state UP group default 
link/ether 56:84:7a:fe:97:99 brd ff:ff: ff: fF: fF: FF 


inet 172.17.42.1/16 scope global dockerO 
valid_lft forever preferred_lft forever 

inet6 fe80::5484: 7aff:fefe:9799/64 scope link 
valid_lft forever preferred_lft forever 


可 以 看 到 这 个 接口 的 了 地址 是 172.17.42.1。 


使 用 这 个 地 址 ， 将 /etc/default/docker 文件 中 的 Docker 启 动 选 
项 从 代码 清单 7-34 所 示 的 默认 值 改 为 代码 清单 7-35 所 示 的 新 配置 。 


代码 清单 7-34 Docker 的 默认 值 


#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 


代码 清单 7-35 larry 上 新 的 Docker 默 认 值 


DOCKER_OPTS='--dns 172.17.42.1 --dns 8.8.8.8 --dns-search service 
.consul' 


之 后 在 curly 和 moe 上 进行 同样 的 设置 : 找到 dockerg 的 IP 地 址 ， 
并 更 新 到 /etc/ default/docker 文件 中 的 DOCKER_OPTS 标志 


a 


其 他 的 分 布 式 环境 需要 使 用 合适 的 机 制 更 新 Docker 守 护 进程 的 默认 值 。 更 多 信息 参 
第 2 草 。 


之 后 在 每 台 答 主机 上 重启 Docker 守 护 进 程 ， 如 代码 清单 7-36 所 示 。 


代码 清单 7-36 在 larry 上 重启 Docker 守 护 进 程 


larry$ sudo service docker restart 


7.2.4 ”启动 具有 自 启 动 功能 的 Consul 节 点 


现在 在 larry 启动 用 来 初始 化 整个 集群 的 自 启动 节点 。 
多 端口 ， 使 用 的 docker run 命令 会 有 些 复杂 。 实 际 上 ， 这 个 命令 要 
映射 表 7-1 里 列 出 的 所 有 端口 。 而 且 ， 由 于 Consul 既 要 运行 在 容器 里 

又 要 和 其 他 宿主 机 上 的 容器 通信 所 以 需要 将 每 个 端口 都 映射 到 本 地 
山口 上。 这 样 可 以 既 在 本 内 部 又 可 以 在 外 部 访问 Consul 


来 看 看 要 用 到 的 docker run 命令 ， 如 代码 清单 7-37 所 示 。 


m 
BE: 


代码 清单 7-37 ”启动 具有 自 启 动 功能 的 Consul 节 点 


larry$ sudo docker run -d -h $HOSTNAME \ 
-p 8300:8300 -p 8301:8301 \ 

-p 8301:8301/udp -p 8302:8302 \ 

-p 8302:8302/udp -p 8400:8400 \ 


-p 8500:8500 -p 53:53/udp \ 
--name larry_agent jamtur@1/consul \ 
-server -advertise $PUBLIC_IP -bootstrap-expect 3 


文 这 里 以 守护 进程 的 方式 从 j amtur01/consul 镜像 启动 了 一 个 容器 ， 
用 来 运 2 行 Consul 八 理 ° 命令 使 用 -h 标志 将 容器 的 主机 名 设置 为 
SSE 环境 变量 。 这 会 让 Consul 代 理 使 用 本 地 主机 名 Larry 。 
该 命令 还 将 8 个 端口 映射 到 本 地 和 宿主 机 对 应 的 端口 。 


该 命令 还 指定 了 一 些 Consul 代 理 的 命令 行 参数 ， 如 代码 清单 7-38 所 
ZN o 
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代码 清单 7-38 Consul 代理 的 命令 行 参 数 


-server -advertise $PUBLIC_IP -bootstrap-expect 3 


,一 /一 


-server 标志 告诉 代理 运行 在 服务 絮 模 式 。-advertise 标志 告诉 
代理 通过 环境 变量 $PUBLIC_IP 指定 的 IP 广 播 自 己 。 最 后 ，- 

bootstrap-expect 标志 告诉 Consul 集 群 中 有 多 少 代 理 。 在 这 个 例 
子 里 ， 指 定 了 3 个 代理 。 这 个 标志 还 指定 了 本 节点 具有 自 启动 的 功能 。 


现在 使 用 docker logs 命令 来 看 看 初始 Consul 容 器 的 日 志 ， 如 代码 
清单 7-39 所 示 。 


代码 清单 7-39 ”启动 具有 有 自 启 动 功 能 的 Consul 节 点 


larry$ sudo docker logs larry_agent 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Consul agent running! 
Node name: 'larry' 
Datacenter: 'dc1' 
Server: true (bootstrap: false) 
Client Addr: 0.0.0.0 (HTTP: 8500, DNS: 53, RPC: 8400) 
Cluster Addr: 104.131.38.54 (LAN: 8301, WAN: 8302) 


Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 


2014/08/31 18:10:07 [WARN] memberlist: Binding to public address 
without encryption! 

2014/08/31 18:10:07 [INFO] serf: EventMemberJoin: larry 
104.131.38.54 

2014/08/31 18:10:07 [WARN] memberlist: Binding to public address 
without encryption! 

2014/08/31 18:10:07 [INFO] serf: EventMemberJoin: larry.dc1 
104.131.38.54 

2014/08/31 18:10:07 [INFO] raft: Node at 104.131.38.54:8300 
[Follower] entering Follower state 

2014/08/31 18:10:07 [INFO] consul: adding server larry (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 18:10:07 [INFO] consul: adding server larry.dc1 (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 18:10:07 [ERR] agent: failed to sync remote state: No 
cluster leader 

2014/08/31 18:10:08 [WARN] raft: EnableSingleNode disabled, and 
no known peers. Aborting election. 


可 以 看 到 Larry 上 的 代理 已 经 启动 了 ,但 是 因为 现在 还 没有 其 他 市 点 
加 入 集群 ， 所 以 并 没有 触发 选举 操作 。 从 仅 有 的 一 条 错误 信息 (如 代 
码 清单 7-40 所 示 ) 可 以 看 到 这 一 点 。 


代码 清单 7-40 ”有关 集群 领导 者 的 错误 信息 


[ERR] agent: failed to sync remote state: No cluster leader 


7.25 ”启动 其 余 节 点 


现在 集群 已 经 启动 好 了 ， 需 要 将 剩 下 的 cur1Ly 和 moe 下 点 加 入 进来 。 
先 来 启动 curLy 。 使 用 docker run 命令 来 启动 第 二 个 代理 ， 如 代码 
清单 7-41 所 示 。 


代码 清单 7-41 ”在 curly 上 启动 代理 


as 


curly$ sudo docker run -d -h $HOSTNAME \ 
-p 8300:8300 -p 8301:8301 \ 

-p 8301:8301/udp -p 8302:8302 \ 

-p 8302:8302/udp -p 8400:8400 \ 

-p 8500:8500 -p 53:53/udp \ 

--name curly_agent jamtur@1/consul \ 


-server -advertise $PUBLIC_IP -join $JOIN_IP 


这 个 命令 与 larry 上 的 自 启 动 命令 很 相似 ， 只 是 传 给 Consul 代 理 的 参 
数 有 变化 ， 如 代码 清单 7-42 所 示 。 


代码 清单 7-42 curly 上 启动 Consul 代 到 


-server -advertise $PUBLIC_IP -join $JOIN_IP 


首先 ， 还 是 使 用 -server 启动 了 Consul 代 理 的 服务 器 模式 ， 并 将 代理 
绑 定 到 用 -advertise 标志 指定 的 公共 IP 地 址 。 最 后 ，- join 告诉 
Consul 要 连接 由 环境 变量 $JOIN_IP 指定 的 larry 主机 的 IP 所 在 的 
Consul 集 群 。 


现在 来 看 看 局 动容 器 后 发 生 了 什么 ， 如 代码 清单 7-43 所 示 。 


代码 清单 7-43 ”查看 Curly 代 理 的 日 志 


as 


curly$ sudo docker logs curly_agent 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Joining cluster... 
Join completed. Synced with 1 initial agents 
==> Consul agent running! 
Node name: 'curly' 
Datacenter: 'dc1' 
Server: true (bootstrap: false) 
Client Addr: 0.0.0.0 (HTTP: 8500, DNS: 53, RPC: 8400) 
Cluster Addr: 104.131.38.55 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 


2014/08/31 21:45:49 [INFO] agent: (LAN) joining: [104.131.38.54] 
2014/08/31 21:45:49 [INFO] serf: EventMemberJoin: larry 
104.131.38.54 

2014/08/31 21:45:49 [INFO] agent: (LAN) joined: 1 Err: <nil> 
2014/08/31 21:45:49 [ERR] agent: failed to sync remote state: No 
cluster leader 

2014/08/31 21:45:49 [INFO] consul: adding server larry (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 21:45:51 [WARN] raft: EnableSingleNode disabled, and 
no known peers. Aborting election. 


可 以 看 到 curly 已 人 ei [larry ， 而 且 在 larry 上 应 该 可 以 看 到 
代码 清单 7-44 所 示 的 日 志 。 


代码 清单 7-44 curly 加 入 Larry 


2014/08/31 21:45:49 [INFO] serf: EventMemberJoin: curly 
104.131.38.55 
2014/08/31 21:45:49 [INFO] consul: adding server curly (Addr: 


104.131.38.55:8300) (DC: dc1) 


这 还 没有 达到 集群 的 要 求 数 量 ， 还 记得 之 前 -bootstrap -expect & 
数 指定 了 3 个 节点 吧 。 所 以 现在 在 moe 上 启动 最 后 一 个 代理 ， 如 代码 
清单 7-45 所 示 。 


代码 清单 7-45 在 moe 上 启动 代理 


iaz 


moe$ sudo docker run -d -h $HOSTNAME \ 

-p 8300:8300 -p 8301:8301 \ 

-p 8301:8301/udp -p 8302:8302 \ 

-p 8302:8302/udp -p 8400:8400 \ 

-p 8500:8500 -p 53:53/udp \ 

--name moe_agent jamturO1i/consul \ 

-server -advertise $PUBLIC_IP -join $JOIN_IP 


这 个 docker run 命令 基本 上 和 在 curly 上 执行 的 命令 一 样 。 只 是 这 
ee a ° 现在， 如 果 查 看 容器 的 日 志 ， 应 该 能 看 到 整 
集群 的 状态 ， 如 代码 清单 7-46 所 示 。 


代码 清单 7-46 moe 上 的 Consul 日 志 


moe$ sudo docker logs moe_agent 
==> Starting Consul agent... 
==> Starting Consul agent RPC... 
==> Joining cluster... 
Join completed. Synced with 1 initial agents 
==> Consul agent running! 
Node name: 'moe' 
Datacenter: 'dc1' 
Server: true (bootstrap: false) 
Client Addr: 0.0.0.0 (HTTP: 8500, DNS: 53, RPC: 8400) 
Cluster Addr: 104.131.38.56 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 


2014/08/31 21:54:03 [ERR] agent: failed to sync remote state: No 
cluster leader 

2014/08/31 21:54:03 [INFO] consul: adding server curly (Addr: 
104.131.38.55:8300) (DC: dc1) 

2014/08/31 21:54:03 [INFO] consul: adding server larry (Addr: 
104.131.38.54:8300) (DC: dc1) 

2014/08/31 21:54:03 [INFO] consul: New leader elected: larry 


从 这 个 日 志 中 可 以 看 出 ，moe BREE TREE o IAEEConsul RRENA 
到 了 预 设 的 市 点 数量 ， 并 且 触 发 了 领导 者 选举 。 这 里 larry 被 选举 为 


在 larry 上 也 可 以 看 到 最 后 一 个 代理 节点 加 入 Consu 的 日 志 ， 如 代码 


清单 7-47 所 示 。 


代码 清单 7-47 在 larry 上 的 Consul 领导 者 选举 日 


2014/08/31 21:54:03 [INFO] consul: Attempting bootstrap with 
nodes: 

[104.131.38.55:8300 104.131.38.56:8300 104.131.38.54:8300] 
2014/08/31 21:54:03 [WARN] raft: Heartbeat timeout reached, 
starting election 

2014/08/31 21:54:03 [INFO] raft: Node at 104.131.38.54:8300 
[Candidate] entering Candidate state 

2014/08/31 21:54:03 [WARN] raft: Remote peer 104.131.38.56:8300 
does not have local node 104.131.38.54:8300 as a peer 
2014/08/31 21:54:03 [INFO] raft: Election won. Tally: 2 
2014/08/31 21:54:03 [INFO] raft: Node at 104.131.38.54:8300 
[Leader] entering Leader state 

2014/08/31 21:54:03 [INFO] consul: cluster leadership acquired 
2014/08/31 21:54:03 [INFO] consul: New leader elected: larry 


2014/08/31 21:54:03 [INFO] consul: member 'larry' joined, marking 
health alive 

2014/08/31 21:54:03 [INFO] consul: member 'curly' joined, marking 
health alive 

2014/08/31 21:54:03 [INFO] consul: member 'moe' joined, marking 
health alive 


通过 浏览 Consul 的 网 页 界面 ， 选 择 Consul 服务 也 可 以 看 到 当前 的 状 
态 ， 如 图 7-3 所 示 。 


oH 


104,131.38.54:8 


SERVICES N t 


consul 


(] consul 


larry 


Serf Health Status 


curly 


Serf Health Status 


moe 


Sert Health Status 


图 7-3 ”网 页 界面 中 的 Consul 服 务 


最 后 ， 可 以 通过 dig 命令 测试 DNS 服务 正在 工作 ， 如 代码 清单 7-48 所 


代码 清单 7-48 测试 Consul 的 DNS 服务 


larry$ dig @172.17.42.1 consul.service.consul 


; <<>> DiG 9.9.5-3-Ubuntu <<>> @172.17.42.1 consul.service.consul 
; (1 server found) 

;; global options: +cmd 

;; Got answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13502 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, 
ADDITIONAL: 0 

;; QUESTION SECTION: 

;consul.service.consul. IN 

;; ANSWER SECTION: 

consul.service.consul. © IN 104.131.38.55 
consul.service.consul. © IN 104.131.38.54 
consul.service.consul. © IN 104.131.38.56 

;; Query time: 2 msec 

;; SERVER: 172.17.42.1#53_(172.17.42.1)_ 

;; WHEN: Sun Aug 31 21:30:27 EDT 2014 

;; MSG SIZE rcvd: 150 


这 里 查询 了 本 地 Docker 接 口 的 IP 地 址 ， 并 将 其 作为 DNS 服 务 嚣 地址， 
请 求 它 返 回 关于 consul.service.consul 的 相关 信息 。 这 个 域名 
的 格式 是 使 用 Consul 的 DNS 快 速 查 询 相 关 服 务 时 的 格式 ，consul 是 
主机 名 ， 而 service .consul 是 域名 。 这 里 
consul.service.consul 代表 Consul 服 务 的 DNS 入 口 。 


例如 ， 代 码 清单 7-49 所 示 的 代码 会 返回 所 有 关于 webservice 服务 的 
DNS A 记录 。 


代码 清单 7-49 通过 DNS 查询 其 他 Consul 服 务 


larry$ dig @172.17.42.1 webservice.service.consul 


EAN 可 以 在 http:/www.consulio/docs/agentdns.html 找到 更 多 关于 Consu 的 DNS 接口 的 信 
自 。 


JON 


现在 ， 这 3 人 台 不 同 的 宿主 机 依靠 其 中 运行 的 Docker 容 器 组 成 了 一 个 
Consul 集 群 。 这 看 上 去 很 酷 ， 但 还 没有 什么 实际 用 处 。 下 面 来 看 看 如 
何在 Consul 中 注册 一 个 服务 ， 并 获得 相关 数据 。 


7.2.6 ”配合 Consul， 在 Docker 里 运行 一 个 分 布 式 服务 


为 了 演示 如 何 注 册 服 务 ， 先 基于 uWSGI 框 架 04 创建 一 个 演示 用 的 分 
布 式 应 用 程序 。 这 个 应 用 程序 由 以 下 两 部 分 组 成 。 


。 一 个 Web 应 用 : distributed_app。 它 在 启动 时 会 启动 相关 的 
Web 工 作 进程 (worker) ， 并 将 这 些 程序 作为 服务 注册 到 Consul。 

。@ — NAP wt: distributed_clLient。 它 从 Consul 读 
取 与 distributed_app 相关 的 信息 ， 并 报告 当前 应 用 程序 的 状 
人 态 和 配置 。 


distributed_app 会 在 两 个 Consul 节 点 ( 即 larry 和 curly) 上 
运行 ， 而 distributed_client 客户 端 会 在 moe 节点 上 运行 。 


1. 构建 分 布 式 应 用 


现在 来 创建 用 于 构建 distributed_app 的 Dockerfile 。 先 来 创建 
用 于 保存 镜像 的 目录 ， 如 代码 清单 7-50 所 示 。 


代码 清单 7-50 ”创建 用 于 保存 distributed_app 的 Dockerfile 的 目录 


$ mkdir distributed_app 
$ cd distributed_app 


$ touch Dockerfile 


现在 来 看 看 用 于 构建 distributed_app 的 Dockerfile 的 内 容 ， 如 
代码 清单 7-51 所 示 。 


代码 清单 7-51 distributed_app 使 用 的 Dockerfile 


FROM ubuntu:14.04 

MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -qqy update 

RUN apt-get -qqy install ruby-dev git libcurl4-openssl-dev curl 
build-essential python 

RUN gem install --no-ri --no-rdoc uwsgi sinatra 

RUN uwsgi --build-plugin https://github.com/unbit/uwsgi-consul 


RUN mkdir -p /opt/distributed_app 

WORKDIR /opt/distributed_app 

ADD uwsgi-consul.ini /opt/distributed_app/ 

ADD config.ru /opt/distributed_app/ 

ENTRYPOINT [ "uwsgi", "--ini", "uwsgi-consul.ini", "--ini", 
"uwsgi-consul.ini:serveri", "--ini", "uwsgi-consul.ini:server2" | 
CMD [] 


这 个 Dockerfile 安装 了 一 些 需 要 的 包 ， 包 括 uWSGI 框 架 和 Sinatra 框 
架 ， 以 及 一 个 可 以 让 uWSGI 写 入 Consul 的 插件 5! 。 之 后 创建 了 目 

录 /opt/distributed_app/ ， 并 将 其 作为 工作 目录 。 之 后 将 两 个 
文件 uwsgi-consul.ini 和 config .ru 加 到 这 个 目录 中 。 


文件 uwsgi-consul.ini 用 于 配置 HWSGI， 来 看 看 这 个 文件 的 内 
容 ， 如 代码 清单 7-52 所 示 。 


代码 清单 7-52 uWSGI 的 配置 


[ uwsgi ] 

plugins = consul 

socket = 127.0.0.1:9999 

master = true 

enable-threads = true 

[server1] 

consul-register = url=http://%h.node.consul: 8500, name= 


distributed_app, id=serveri, port=2001 

mule = config.ru 

[server2 ] 

consul-register = url=http://%h.node.consul: 8500, name= 
distributed_app, id=server2, port=2002 

mule = config.ru 


文件 uwsgi-consul.ini 使 用 WwWSGI 的 Mule 结 构 来 运行 两 个 不 同 的 
应 用 程序 ， 这 两 个 应 用 都 是 在 Sinatra 框 架 中 写成 的 输出 “Hello 
World” 的 。 现 在 来 看 看 config, ru 文件 ， 如 代码 清单 7-53 所 示 。 


代码 清单 7-53 distributed_app 使 用 的 config.ru 文件 


require 'rubygems' 
require 'sSinatra' 
get '/' do 

"Hello World!" 


end 
run Sinatra: :Application 


文件 uwsgi-consul.ini 每 个 块 里 定义 了 一 个 应 用 程序 ， 分 别 标记 
为 server1 和 server2。 每 个 块 里 还 包含 一 个 对 uWSGI Consul 插 件 
的 调用 。 这 个 调用 连 到 Consul 实 例 ， 并 将 服务 以 distributed_app 
的 名 字 ， 与 服务 名 serverl1 或 者 server2 ， 一同 注册 到 Consul。 
个 服务 使 用 不 同 的 端口 ， 分 别 是 2001 和 2002 。 


当 该 框架 开始 运行 时 ， 会 创建 两 个 Web 应 用 的 工作 进程 ， 并 将 其 分 别 
注册 到 Consul。 应 用 程序 会 使 用 本 地 的 Consul 广 点 来 创建 服务 。 参 
I 的 简写 ， 执 行 时 会 使 用 正确 的 主机 名 替换 ， 如 代码 清单 
7-54 所 示 。 


代码 清单 7-54 ”Consul 插 件 的 URL 


url=http://%h.node.consul:8500... 


最 后 ，Dockerfile 会 使 用 ENTRYPOINT 指令 来 自动 运行 应 用 的 工作 
进程 。 


现在 来 构建 镜像 ， 如 代码 清单 7-55 所 示 。 


代码 清单 7-55 ”构建 distributed_app 镜像 


$ sudo docker build -t="jamtur@1/distributed_app" . 


EZI yy i OS) 或 者 GitHub [7] 获取 distributed_app 的 Dockerfile 、 相 关 配置 
和 应 用 程序 文件 。 


2. 构建 分 布 式 客户 端 


现在 来 创建 用 于 构建 distributed_client 镜像 的 Dockerfile X 
件 。 先 来 创建 用 来 保存 镜像 的 日 录 ， 如 代码 清单 7-56 所 示 。 


代码 清单 7-56 ”创建 保存 distributed_client 的 Dockerfile 的 目录 


$ mkdir distributed client 
$ cd distributed client 


$ touch Dockerfile 


现在 来 看 看 distributed_client 应 用 程序 的 Dockerfile 的 内 
容 ， 如 代码 清单 7-57 所 示 。 


代码 清单 7-57 _ distributed_ client 使 用 的 Dockerfile 


FROM ubuntu:14.04 


MAINTAINER James Turnbull "james@example.com" 

ENV REFRESHED_AT 2014-06-01 

RUN apt-get -qqy update 

RUN apt-get -qqy install ruby ruby-dev build-essential 
RUN gem install --no-ri --no-rdoc json 

RUN mkdir -p /opt/distributed_client 

ADD client.rb /opt/distributed_client/ 

WORKDIR /opt/distributed_client 

ENTRYPOINT [ "ruby", "/opt/distributed_client/client.rb" ] 


CMD [] 


个 Dockerfile 先 安装 了 Ruby 以 及 一 些 需 要 的 包 和 gem， 然 后 创建 
ae /distributed_client 目录 ， 并 将 其 作为 工作 目录 。 之 
后 将 包含 了 客户 端 应 用 程序 代码 的 cLient .rb 文件 复制 到 镜像 
的 /opt/distributed_client 目录 。 


现在 来 看 看 这 个 应 用 程序 的 代码 ， 如 代码 清单 7-58 所 示 。 


代码 清单 7-58 distributed_client 应 用 程序 


require "rubygems" 
require "json" 
require "net/http" 
require "uri" 
require "resolv" 
uri = 
URI.parse("http://consul.service.consul:8500/vi/catalog/service/ 
distributed_app" ) 
http = Net::HTTP.new(uri.host, uri.port) 
request = Net::HTTP: :Get.new(uri.request_uri) 
response = http.request(request ) 
while true 
if response.body == "{}" 
puts "There are no distributed applications registered in 
Consul" 
sleep(1) 
elsif 
result = JSON.parse(response. body ) 
result.each do |service| 
puts "Application #{service[ 'ServiceName']} with element # 
{service 
["ServiceID"]} on port #{service["ServicePort"]} found on node #{ 
service["Node"]} (#{service["Address"]})." 
dns = 
Resolv: :DNS.new.getresources("distributed_app.service.consul", 
Resolv: :DNS::Resource::IN::A) 
puts "We can also resolve DNS - # 
{service[ 'ServiceName']}resolves 
to #{dns.collect { |d| d.address }.join(" and ")}." 
sleep(1) 
end 
end 
end 


这 个 客户 端 首 先 检查 Consul HTTP API 和 Consul DNS， 判 断 是 否 存在 名 
叫 distributed_app 的 服务 。 客 户 端 查询 宿主 机 
consul.service.consul ， 返回 的 结果 和 之 前 看 到 的 包含 所 有 
Connsul 集 群 节点 的 A 记录 的 DNS CNAME 记 录 类 似 。 这 可 以 让 我 们 的 


查询 变 简 单 。 


如 琳 没 有 找到 服务 ， 客 尸 端 会 在 控制 台 (consloe) 上 显示 一 条 消息 。 
如 果 检 查 到 distributed_app 服务 ， 就 会 : 


。 解析 从 API 返 回 的 JSON 输 出 ， 并 将 一 些 有 用 的 信息 输出 到 控制 
。 对 这 个 服务 执行 DNS 查 找 ， 并 将 返回 的 所 有 A 记录 输出 到 控制 


(0) 


o> 


这 样 ， 束 可 以 查看 启动 Consul 集 群 中 distributed_app Rari 


最 后 ，Dockerfile 用 ENTRYPOINT 命令 指定 了 容器 启动 时 ， 运 行 
client.rb 命令 来 启动 应 用 。 


现在 来 构建 镜像 ， 如 代码 清单 7-59 所 示 。 


代码 清单 7-59 ”构建 distributed_client 镜像 


$ sudo docker build -t="jamtur@1/distributed_client" . 


EZS ay em 8) 或 者 GitHub 019] 下 载 dist ributed_client 的 Dockerfile 和 应 用 
程序 文件 。 


3. 局 动 分 布 式 应 用 
现在 已 经 构建 好 了 所 需 的 镜像 ， 可 以 在 larry 和 curly 上 启动 
distributed_app 应 用 程序 容 右 了 。 假 设 这 两 台 机 妖 已 经 按照 之 前 


的 配置 正常 运行 了 Consul。 先 从 在 larry 上 运行 一 个 应 用 程序 实例 开 
始 ， 如 代码 清单 7-60 所 示 。 


代码 清单 7-60 在 larry 启动 distributed_app 


larry$ sudo docker run -h $HOSTNAME -d --name larry_distributed \ 
jamtur01/distributed_app 


这 里 启动 了 jamturo91/distributed_app 镜像 ， 并 且 使 用 -h 标志 
指定 了 主机 名 。 主 机 名 很 重要 ， 因 为 WWSGI 使 用 主机 名 来 获知 Consul 
服务 注册 到 了 哪个 节点 。 之 后 将 这 个 容器 命名 为 
larry_distributed ， 并 以 守护 进 方式 模式 运行 该 容器 。 


如 果 检 查 容 妖 的 输出 日 志 ， 可 以 看 到 uWSGI 启 动 了 Web 应 用 工作 进 
程 ， 并 将 其 作为 服务 注册 到 Consul， 如 代码 清单 7-61 所 示 。 


代码 清单 7-61 distributed_app 日 志 输 出 


larry$ sudo docker logs larry_distributed 
[uWSGI] getting INI configuration from uwsgi-consul.ini 
*** Starting uWSGI 2.0.6 (64bit) on [Tue Sep 2 03:53:46 2014] *** 


[consul] built service JSON: 
{"Name":"distributed_app", "ID": "serveri", 

"Check": {"TTL":"30s"}, "Port" :2001} 

[consul] built service JSON: 

{"Name":"distributed_app", "ID":"server2", 

"Check": {"TTL":"30s"}, "Port": 2002} 

[consul] thread for register_url=http://larry.node.consul:8500/v1/ 
agent/service/register check_url=http://larry.node.consul:8500/v1/ 
agent/check/pass/service:serveri name=distributed_app 

id=serveri1 started 


Tue Sep 2 03:53:47 2014 - [consul] workers ready, let's register 
the service to the agent 
[consul] service distributed_app registered successfully 


这 里 展示 了 部 分 日 志 。 从 这 个 日 志 里 可 以 看 到 uWSGI 已 经 启动 了 。 
Consul 插 件 为 每 个 distributed_app 工作 进程 构造 了 一 个 服务 项 
20] ， 并 将 服务 项 注册 到 Consul 里 。 如 果 现 在 检查 Consul 网 页 界面 ， 应 
该 可 以 看 到 新 注册 的 服务 ， 如 图 7-4 所 示 。 


104.131.38.54:8500/ui/#/del/services/distributed_app o g 


C SERVICES NODES KEY/VALUE 


distributed_app 


i consul 
il distributed app 


No tags 
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图 7-4 ”Consul 网 页 界面 中 的 distributed_app 服务 


现在 在 curly 上 再 局 动 一 个 Web 应 用 工作 进程 ， 如 代码 清单 7-62 所 
ZR œ 


代码 清单 7-62 在 curly 上 启动 distributed_app 


curly$ sudo docker run -h $HOSTNAME -d --name curly _ distributed \ 
jamtur01/distributed_app 


如 采 查 看 日 志 或 者 Consu 网 页 界面 ， 应 该 可 以 看 到 更 多 已 经 注册 的 服 
务 ， 如 图 7-5 所 示 。 


4. 启动 分 布 式 应 用 客户 端 
现在 已 经 在 larry 和 curly 启动 了 Web 应 用 工作 进程 ， 继 续 在 moe 上 


F200 看 看 能 不 能 从 Consul 查 询 到 数据 ， 如 代码 清单 7-63 
ZR œ 


代码 清单 7-63 moe 上 启动 distributed_client 


moe$ sudo docker run -h $HOSTNAME -d --name moe distributed \ 
jamtur01/distributed_client 


这 次 ， 在 moe 43847 T jamtur01/distributed_client 镜像 ， 并 
将 容器 命名 为 noe_distributed。 现 在 来 看 看 容器 输出 的 日 志 ， 看 
一 下 分 布 式 客户 端 是 不 是 找到 了 Web 应 用 工作 进程 的 相关 信息 ， 如 代 
码 清 单 7-64 所 示 。 


104.131.38.$4:8500/ui/#/del/services/distributed_app 加】 
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图 7-5 ”Consul 网 页 界面 上 的 更 多 distributed_app 服务 


尺码 清单 7-64 moe 上 的 distributed client 日 志 


moe$ sudo docker logs moe_distributed 

Application distributed_app with element server2 on port 2002 
found on 

node larry (104.131.38.54). 

We can also resolve DNS - distributed_app resolves to 
104.131.38.55 and 

104.131.38.54. 

Application distributed_app with element server1 on port 2001 
found on 

node larry (104.131.38.54). 

We can also resolve DNS - distributed_app resolves to 
104.131.38.54 and 

104.131.38.55. 

Application distributed_app with element server2 on port 2002 
found on 


node curly (104.131.38.55). 

We can also resolve DNS - distributed_app resolves to 
104.131.38.55 and 

104.131.38.54. 

Application distributed_app with element server1 on port 2001 
found on 

node curly (104.131.38.55). 


从 这 个 日 志 可 以 看 到 ， 应 用 distributed_client 查询 了 HTTP 
API， 找 到 了 关于 distributed_app 及 其 server1 和 Server2 T 
作 进 程 的 服务 项 ， 这 两 个 服务 项 分 别 运行 在 larry 和 curly 上 。 客 户 
端 还 通过 DNS 查找 到 运行 该 服务 的 和 点 的 了 地址 104.131.38.54 和 
104.131.38.55 œ 


在 真实 的 分 布 式 应 用 程序 里 ， 客 户 端 和 工作 进程 可 以 通过 这 些 信息 在 
分 布 式 应 用 的 万 点 间 进 行 配 置 、 连 接 、 分 派 消 轧 。 这 提供 了 一 种 俏 
单 、 方 便 且 有 弹性 的 方法 来 构建 分 离 的 Docker 容 锅 和 宿主 机 里 运行 的 
分 布 式 应 用 程序 。 


7.3 Docker Swarm 


Docker Swarm 是 一 个 原生 的 Docker 集 群 管 理工 具 。Swarm 将 一 组 
Docker 主 机 作为 一 个 虚拟 的 Docker 主 机 来 管理 。Swarm 有 一 个 非常 傈 
单 的 架构 ， 它 将 多 台 Docker 主 机 作为 一 个 集群 ， 并 在 集群 级 别 上 以 标 
准 Docker API 的 形式 提供 服务 。 这 非常 强大 ， 它 将 Docker 容 器 抽象 到 
集群 级 别 ， 而 又 不 需要 重新 学 习 一 套 新 的 API°。 这 也 使 得 swarm 非常 容 
易 和 那些 已 经 集成 了 Docker 的 工具 再 次 集成 ， 包 括 标准 的 Docker 客 户 
i 。 对 Docker 客 户 端 来 说 ，Swarm 集 群 不 过 是 另 一 台 普 通 的 Docker 主 
儿 而 已 。 


Swarm 也 像 其 他 Docker 工 具 一 样 ， 遵 循 了 类 似 笔记 本 电池 一 样 的 设计 
原则 ， 虽 然 自 带 了 电池 ， 但 是 也 可 以 选择 不 使 用 它 。 这 意味 着 ， 
Swarm 提 供 了 面 同人 简单 应 用 场景 的 工具 以 及 后 端 集 成 ， 同 时 提供 了 API 

(目前 还 处 于 成 长 期 ， 用 于 与 更 复杂 的 工具 及 应 用 场景 进行 集成 。 
Swarm 基于 Apache 2.0 许 可 证 发 布 ， 可 以 在 GitHub PH 上 找到 它 的 源 代 
fi o 


fe 


Swarm 仍 是 一 个 新 项 目 ， 它 的 基本 雏形 已 现 ， 但 是 亦 可 以 期 待 随 着 项 目的 进化 ， 它 可 以 开发 
和 演化 更 多 的 API。 可 以 在 GitHub 上 找到 它 的 发 展 蓝图 L 。 


7.3.1 “安装 Swarm 


安装 Swarm 最 简单 的 方法 就 是 使 用 Docker 自 己 。 我 知道 这 听 起 来 可 能 
有 一 点 儿 超 前 ， 但 是 Docker 公 司 为 Swarm 提 供 了 一 个 实时 更 新 的 

， 可 以 轻易 下 载 并 运行 这 个 镜像 。 我 们 这 里 也 将 采用 这 种 
安装 方式 。 


因此 ，Swarm 没 有 像 第 2 章 那 样 需 要 很 多 前 提 条 件 。 这 里 我 们 假设 读者 
已 经 按照 第 2 章 的 指导 安装 好 了 Docker。 


要 想 文 持 Swarm，Docker 有 一 个 最 低 的 版 本 。 有 用户 的 所 有 Docker 主 机 
都 必须 在 1.4.0 或 者 更 高 版 本 之 上 。 上 此外， 运行 Swarm 的 所 有 Docker 世 
点 也 都 必须 运行 着 同一 个 版 本 的 Docker。 不 能 混合 搭配 不 同 的 版 本 ， 
比如 应 该 让 Docker 上 的 每 歌 节 点 都 运行 在 1.6.0 之 上 ， 而 不 能 混用 1.5.0 
版 本 和 1.6.0 版 本 的 节点 。 


我 们 将 在 两 台 主 机 上 安装 swarm， 这 两 台 主机 分 别 为 smoker 和 
joker ° smoker 的 主机 IP 是 10 ,0.0.125 ，joker 的 主机 IP 是 
10.0.0.135“。 两 台 主 机 都 安 逆 并 运行 着 最 新 版 本 的 Docker 。 


让 我 们 先 从 smoker 主机 开始 ， 在 其 上 拉 取 swarm 镜像 ， 如 代码 清单 
7-65 所 示 。 


代码 清单 7-65 ”在 smoker 上 拉 取 Docker Swarm 镜像 


smoker$ sudo docker pull swarm 


之 后 再 到 joker 上 做 同样 的 操作 ， 如 代码 清单 7-66 所 示 。 


代码 清单 7-66 在 joker 上 拉 取 Docker Swarm 镜像 


joker$ sudo docker pull swarm 


我 们 可 以 确认 一 下 Swarm 镜像 是 否 下 载 成 功 ， 如 代码 清单 7-67 所 示 。 


代码 清单 7-67 ”查看 Swarm 镜像 


$ docker images Swarm 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


swarm latest bf8b6923851d 6 weeks ago 7.19 MB 


7.3.2 ”创建 Swarm 集群 


我 们 已 经 在 两 台 主 机 上 下 载 了 swarm 镜像 ， 之 后 就 可 以 创建 Swarm 集 
群 了 。 集 群 中 的 每 台 主 机 上 都 运行 着 一 个 Swarm 节点 代理 。 每 个 代理 
都 将 该 主机 上 的 相关 Docker 守 护 进程 注册 到 集群 中 。 和 克 点 代理 相对 
的 是 Swarm 管理 者 ， 用 于 对 集群 进行 管理 。 


集群 注册 可 以 通过 多 种 可 能 的 集群 发 现 后 端 (discovery backend) 来 实 
现 。 默 认 的 集群 发 现 后 端 是 基于 Docker Hub。 它 允许 用 户 在 Docker 
Hub 中 注册 一 个 集群 ， 然 后 返回 一 个 集群 ID， 我 们 之 后 可 以 使 用 这 个 
集群 ID 疝 集群 添加 额外 的 节点 。 


请 强 其 他 的 集群 发 现 后 端 包括 etcd、Consul 和 Zookeeper， 其 至 是 一 个 JP 地 址 的 静态 列表 。 
我 们 能 使 用 之 前 创建 的 Consule 集 群 为 Docker Swarm 集 群 提供 发 现 方式 。 可 以 在 https://docs. 


ocker.com/swarm/discovery/ 获得 更 多 关于 集群 发 现 的 说 明 。 


这 里 我 们 使 用 默认 的 Docker Hub 作 为 集群 发 现 服 务 创建 我 们 的 第 一 个 
Swarm 集群 。 我 们 还 是 在 smoker 主机 上 创建 Swarm 集群 ， 如 代码 清单 
7-68 所 示 。 


代码 清单 7-68 ”创建 Docker Swarm 


smoker$ sudo docker run --rm swarm create 
b811b0bc438cb9a06fb68a25f1c9d8ab 


我 们 看 到 该 命令 返回 了 一 个 字符 串 

b811b0bc438cb9a06fb68a25f1c9d8ab 。 这 是 我 们 的 集群 ID。 这 
是 一 个 唯一 的 ID， 我 们 能 利用 这 个 ID 向 Swarm 和 集群 中 添加 节点 。 用 户 
ee FAR SYA Pee aT AN TSK 


接着 我 们 在 每 个 节点 上 运行 Swarm 代理 。 让 我 们 从 smoker 主机 开 
台 ， 如 代码 清单 7-69 所 示 。 


代码 清单 7-69 在 smoker 上 运行 swarm 代理 


z 


smoker$ sudo docker run -d swarm join --addr=10.0.0.125:2375 
token://b811b0bc438cb9a06fb68a25f1c9d8ab 


b5fb4ecab5ccodadcoeeb8c157b537125d37e541d0d96e11956c2903ca69effo 


接着 在 joker 上 运行 Swarm 代理 ， 如 代码 清单 7-70 所 示 。 


代码 清单 7-70 在 joker 上 运行 swarm 代理 


z 


joker$ sudo docker run -d swarm join --addr=10.0.0.135:2375 token 
://b811b0bc438cb9a06Fb68a25Fic9d8ab 


537bc90446f12bfa3ba41578753b63Ff 34Fd5Fd36179bF fa2dc152246F4b449d7 


这 将 创建 两 个 Swarm 代理 ， 这 些 代理 运行 在 运行 了 swarnm 镜像 的 
Docker 化 容器 中 。 我 们 通过 传递 给 容 絮 的 join 标志 ， 通 过 -addr ~~ 
选项 传递 的 本 机 IP 地 址 ， 以 及 代表 集群 ID 的 token ， 启 动 一 个 代理 。 
每 个 代理 都 会 绑 定 到 它们 所 在 主机 的 IP 地 址 上 。 每 个 代理 都 会 加 入 
Swarm 集群 中 去 。 


EA Docker i EF ， 用 户 也 可 以 让 上 自己 的 Swarm 通 过 TLS 和 Docker 节 点 进行 连接 。 我 们 将 
企 第 8 章 介绍 如 何 配置 Docker 来 使 用 TLS 。 


我 们 可 以 通过 得 看 代理 容 硕 的 日 志 来 了 解 代 理 内 部 是 如 何 工 作 的 ， 如 
代码 清单 7-71 所 示 。 


代码 清单 7-71 查看 smoker 代理 的 日 志 


smoker$ docker logs b5fb4ecab5cc 
time="2015-04-12T17:54:35Z" level=info msg="Registering 
discovery service every 25 seconds..." addr="10.0.0.125: 
discovery="token: //b811b0bc438cb9a06fFb68a25Fic9d8ab" 
time="2015-04-12T17:55:00Z" level=info msg="Registering 


discovery service every 25 seconds..." addr="10.0.0.125: 
discovery="token: //b811b0bc438cb9a06fFb68a25Fic9d8ab" 


FAT LAGS, POPES QSPRS Ie] A EMR ETI ET o DCRR UR AS 
$M Ja vin Docker Hub 该 代理 可 用 ， 该 Docker 服 务 器 也 可 以 被 使 用 。 

下 面 我 们 束 来 看 看 集群 是 如 何 工作 的 。 我 们 可 以 在 任何 运行 着 Docker 
的 主机 上 执行 这 一 操作 ， 而 不 一 定 必 须要 在 Swarm 集群 的 万 点 中 。 我 
们 甚至 可 以 在 目 己 的 笔记 本 电脑 上 安装 好 Docker 并 下 载 了 swarnm 镜像 
后 ， 本 地 运行 Swarm 集群 ， 如 代码 清单 7-72 所 示 。 


代码 清单 7-72” 列 出 我 们 的 Swarm 点 


$ docker run --rm swarm list token:// 
b811b0bc438cb9a06Fb68a25F1c9d8ab 
10.0.0.125:2375 


10.0.0.135:2375 


这 里 我 们 运行 了 swarm 镜 像 ， 并 指定 了 1ist 标志 以 及 集群 的 token 
° 该 命令 返回 了 集群 中 所 有 节点 的 列表 。 下 面 让 我 们 来 启动 Swarm 集 
群 管理 者 。 我 们 可 以 通过 Swarm 集群 管理 者 来 对 集群 进行 管理 。 同 
以 在 任何 安装 了 Docker 的 主机 上 执行 以 下 命令 ， 如 代码 
清单 7-73 所 示 。 


代码 清单 7-73 ”启动 Swarm 集群 管理 者 


$ docker run -d -p 2380:2375 swarm manage token:// 
b811b0bc438cb9a06Fb68a25F1c9d8ab 


这 将 创建 一 个 新 容器 来 运行 Swarm 集群 管理 者 。 同 时 我 们 还 将 2380 
端口 映射 到 了 2375 端口 。 我 们 都 知道 2375 是 Docker 的 标准 端口 。 我 
们 将 使 用 这 个 端口 来 和 标准 Docker 客 户 端 或 者 API 进 行 交 互 。 我 们 运 
行 了 swarm 镜像 ， 并 通过 指定 manage ` `r 选 项 来 启动 管理 者 ， 还 指 
定 了 集群 ID。 现 在 我 们 就 可 以 通过 这 个 管理 者 来 器 集 群发 送 命 令 。 
让 我 们 从 在 Swarm 集群 中 运行 docker info 开始 。 这 里 我 们 通过 -H 
选项 来 指定 Swarm 集群 管理 节点 的 API 端 点 ， 如 代码 清单 7-74 所 示 。 


代码 清单 7-74 ”在 Swarm 集群 中 运行 docker info 命令 


$ sudo docker -H tcp://localhost:2380 info 
Containers: 4 


Nodes: 2 

joker: 10.0.0.135:2375- 
Containers: 2L 

Reserved CPUs: © / it 

Reserved Memory: 0 B / 994 MiB 
smoker: 10.0.0.125:2375+ 
Containers: 2L 

Reserved CPUs: © / it 

Reserved Memory: © B / 994 MiB 


我 们 看 到 ， 除 了 标准 的 docker info 输出 之 外 ，Swarm 还 向 我 们 输 
出 了 所 有 节点 信息 。 我 们 可 以 看 到 每 个 节点 、 节 点 的 Ip 地 址 、 每 台 节 
点 上 有 多 少 容 器 在 运行 ， 以 及 CPU 和 内 存 这 样 的 容量 信息 。 


7.3.3 ”创建 容器 


现在 让 我 们 通过 一 个 小 的 shell 循 环 操作 来 创建 6 个 Nginx 容 器 ， 如 代码 
清单 7-75 所 示 。 


代码 清单 7-75 ”通过 循环 创建 6 个 Nginx 容 器 


$ for i in `seq 1 6 ;do sudo docker -H tcp://localhost:2380 run - 
d --name www-$i -p 80 nginx;done 

37d5c191d0d59fF00228fbae86F54280ddd11667 7a7cfcb8be7fFf48977206d1e2 
b194a69468c03cee9eb16369a3f9b157413576af3dcb78e1a9d61725c26c2ec7 
47923801a6c6045427ca49054fb988Ff Fe58e3e9F7FF3b1011537acf048984Fe7 


90fF8bF04d80421888915c9ae8a3F9C35cf6bd351da52970b0987593ed703888F 
5bf0ab7ddcd72b11dee9064e504ea6231F9aaa8 46a23ea65a59422a2161F 6ed4 
bi5bce5e49fcee/7443a93601b4dde1aa8aa048393e56a6b9C961438e419455c5 


这 里 我 们 运行 了 包装 在 一 个 shell 循 环 里 的 docker run 命令。 我 们 通 
过 -H 选 项 为 Docker 客 户 端 指定 了 tcp://localhost:2380 地 址 ， 也 
束 是 Swarm 管 理 者 的 地 址 。 我 们 告诉 Docker 以 守护 方式 启动 容器 ， 并 
将 容器 命名 为 www- 加 上 一 个 循环 变量 $i 。 这 些 容器 都 是 基于 nginx 
镜像 创建 的 ， 并 都 打开 了 80 端 口 。 


我 们 看 到 上 面 的 命令 返回 了 6 个 容器 的 人 D， 这 也 十 Swarm 在 集群 中 局 动 
HJEMR ° 


让 我 们 来 看 看 这 些 正 在 运行 中 的 容器 ， 如 代码 请 单 7-76 所 示 。 


代码 清单 7-76 ”Swarm 在 集群 中 执行 docker ps 的 输出 


$ sudo docker -H ee //localhost : 2380 

CONTAINER ID IMAGE ... PORTS NAMES 
bi5bce5e49fc nginx ~ 443/tcp,10.0.0. :49161->80/tcp joker/www- 
6 

47923801a6c6 nginx 443/tcp,10.0.0. :49158->80/tcp 

smoker /www- 3 

5bf@ab7ddcd7 nginx 443/tcp,10.0.0. :49160->80/tcp joker/www- 
5 


90f8bf04d804 nginx 443/tcp,10.0.0. :49159->80/tcp 

smoker /www-4 

b194a69468c0 nginx 443/tcp,10.0.0. : 49157 ->80/tcp joker/www- 
2 

37d5c191d0d5 nginx 443/tcp, 10.0.0. : 49156 ->80/tcp 
smoker/www-1 


说 这 里 我 们 省 略 了 输出 中 部 分 列 的 信息 ， 以 节省 篇 幅 ， 包 括 容器 启动 时 运行 的 命令 、 
器 当前 状态 以 及 容器 创建 的 时 间 。 


我 们 可 以 看 到 我 们 已 经 运行 了 docker ps 命令 ， 但 它 不 是 在 本 地 
Docker 守 护 进 程 中 ， 而 是 跨 Swarm 集 群 运行 的 。 我 们 看 到 结果 中 有 6 个 
容器 在 运行 ， 平 均 分 配 在 集群 的 两 个 和 点 上 。 那 么 ，Swarm 是 如 何 决 
定 容 器 应 该 在 哪个 节点 上 运行 呢 ? 


Swarm 根据 过 滤器 (filter) 和 策略 (strategy) 的 结合 来 决定 在 哪个 市 
点 上 运行 容器 。 


7.3.4 过 滤器 
过 滤 需 是 告知 Swarm 该 优先 在 哪个 下 点 上 运行 容 贸 的 明确 指令 
目前 Swarm 具 有 如 下 5 种 过 滤 絮 

e 约束 过 滤器 (constraint filter) ; 


( 
。 亲 和 过 滤器 (affinity filter) ; 
。 依赖 过 滤器 (dependency filter) ; 
( 
( 


mt 


。 端口 过 滤器 (port filter) ; 
fe eo Was 


下 面 我 们 就 来 逐个 了 解 一 下 这 些 过 滤器 。 


health filter) ° 


1. 约束 过 滤器 


约束 过 滤 着 依赖 于 用 户 给 各 个 世上 点 赋予 的 标签 。 举 例 来 说 ， 用 户 想 为 
使 用 特殊 存储 类 型 或 者 指定 操作 系统 的 节点 来 分 组 。 约 束 过 滤 顺 需要 
在 司 动 Docker 守 护 进 程 时 ， 设 置 键 值 对 标签 ， 通 过 -label 标注 来 设 
置 ， 如 代码 清单 7-77 所 示 。 


代码 清单 7-77 运行 Docker 守 护 进程 时 设置 约束 标签 


$ sudo docker daemon --label datacenter=us-east1 


Docker 还 提供 了 一 些 Docker 守 护 进 程 启动 时 标准 的 默认 约束 ， 包 括 内 

核 版 本 、 操 作 系 统 、 执 行 驱动 (execution driver) 和 存储 驱动 (storage 
driver) 。 如 果 我 们 将 这 个 Docker 实 例 加 入 Swarm 集群 ， 就 可 以 通过 代 
码 清单 7-78 所 示 的 方式 在 容器 启动 时 选择 这 个 Docker 实 例 。 


代码 清单 7-78 ”启动 容器 时 指定 约束 过 滤器 


$ sudo docker -H tcp://localhost:2380 run -e constraint: 


datacenter==us-east1 -d --name www-usei1 -p 80 nginx 


这 里 我 们 启动 了 一 个 名 为 www-usel 的 容器 ， 并 通过 -e 选项 指定 约 

束 条 件 ， 这 里 用 来 匹配 datacenter==us-east1。 这 样 将 会 在 设置 
了 这 个 标签 的 Docker 守 护 进程 中 启动 该 容器 。 这 个 约束 过 滤器 支持 相 
等 匹配 == 和 不 等 匹配 1!= ， 也 支持 使 用 正则 表达 式 ， 如 代码 清单 7-79 

所 示 。 


代码 清单 7-79 ”启动 容器 时 在 约束 过 滤器 中 使 用 正则 表达 式 


$ sudo docker -H tcp://localhost:2380 run -e constraint: 
datacenter==us-east* -d --name www-use1 -p 80 nginx 


这 会 在 任何 设置 了 datacenter 标签 并 且 标 签 值 匹 配 us -east* 的 
Swarm 节点 上 启动 容器 。 


2. 亲 和 过 滤器 


杀 和 过 滤器 让 容器 运行 更 互相 接近 ， 比 如 让 容器 web1 挨 着 haproxy1 
容器 或 者 挨 着 指定 ID 的 容器 运行 ， 如 代码 清单 7-80 所 示 。 


代码 清单 7-80 ”启动 容器 时 指定 杀 和 过 滤器 


$ sudo docker run -d --name www-use2 -e affinity:container==www- 
use1 


nginx 


这 里 我 们 通过 亲 和 过 滤器 启动 了 一 个 容器 ， 并 告诉 这 个 容器 运行 在 
www-usel 容器 所 在 的 Swarm 节 点 上 。 我 们 也 可 以 使 用 不 等 于 条 件 ， 
如 代码 清单 7-81 所 示 。 


代码 清单 7-81 ”启动 容器 时 在 亲 和 过 滤器 中 使 用 不 等 于 条 件 


$ sudo docker run -d --name db1 -e affinity:container !=www-uset 
mysql 


读者 会 看 到 这 里 我 们 在 亲 和 过 滤器 中 使 用 了 != 比较 操作 符 。 这 将 告诉 
Docker 在 任何 没有 运行 www-usel 容 吉 的 Swarm 节点 上 运行 这 个 容 

BE 

我 们 也 能 匹配 已 经 拉 取 了 指定 镜像 的 节点 ， 如 affinity 

: ijmage==nginx 将 会 让 容 絮 在 任何 已 经 打 取 了 nginx 镜像 的 万 点 上 
运行 。 或 者 ， 像 约束 过 滤器 一 样 ， 我 们 也 可 以 通过 按 名 字 或 者 正则 表 

达 式 来 搜索 容器 来 匹配 特定 的 节点 ， 如 代码 清单 7-82 所 示 。 


代码 清单 7-82 ”启动 容器 时 在 亲 和 过 滤器 中 使 用 正则 表达 式 


$ sudo docker run -d --name db1 -e affinity:container !=www-use* 
mysql 


3. 依赖 过 滤器 
在 有 具备 指定 卷 或 容 句 链接 的 六 点 上 启动 容器 。 


4. 端口 过 滤器 


a in TE, ERA tee AA Aaa, 20 
代码 清单 7-83 所 示 。 


代码 清单 7-83 ”使 用 端口 过 滤器 


$ sudo docker -H tcp://localhost:2380 run -d --name haproxy -p 
80:80 haproxy 


5. 健康 过 滤器 
利用 健康 过 滤器 ，Swarm 就 不 会 将 任何 容器 调度 到 被 认为 不 健康 的 节 
节点 有 问题 。 


可 以 在 http://docs.docker.com/swarm/scheduler/filter/ 查看 到 Swarm 过 滤 
需 的 完整 列表 ， 以 及 它们 的 具体 配置 。 


EZB 可 以 通过 为 swarm manage 命令 传递 -filter 标志 来 控制 哪些 过 滤器 能 用 。 
7.3.5 ”策略 

策略 允许 用 户 用 集群 节点 更 隐 式 的 特性 来 对 容器 进行 调度 ， 比 如 该 节 
尽 可 用 资源 的 数量 等 ， 只 在 拥有 足够 内 存 或 者 CPU 的 市 后 上 局 动容 
as ° Docker Swarm 现 在 有 3 种 策略 : F (Spread) RK ` Ais 
(BinPacking) 策略 和 随机 (Random) 策略 。 但 只 有 平 铺 策略 和 紧 闫 
策略 才 真 正 称 得 上 是 策略 。 默 认 的 策略 是 平 铺 策略 。 


可 以 在 执行 swarm manage 命令 时 ， 通 过 一 strategy 标志 设置 用 户 
想 选 用 的 策略 。 


1. 平 铺 策略 


平 铺 策略 会 选择 已 运行 容 亏 数量 最 少 的 万 点 。 使 用 平 铺 策略 会 让 所 有 
容 絮 比较 平均 地 分 配 到 集群 中 的 每 个 证 点 上 。 


2 .紧凑 策略 


紧凑 策略 会 根据 每 个 节点 上 可 用 的 CPU 和 内 存 资源 为 节点 打分 ， 它 会 
先 返 回 使 用 最 紧凑 的 节点 。 这 将 会 保证 节点 最 大 程度 地 被 使 用 ， 避 免 
碎片 化 ， 并 确保 在 需要 启动 更 大 的 容器 时 有 最 大 数量 的 空间 可 用 。 
3. 随机 策略 


随机 策略 会 随机 选择 一 个 节点 来 运行 容 右 。 这 主要 用 于 调试 中 ， 生 产 
环境 下 请 不 要 使 用 这 种 策略 。 


7.3.6 小结 
读者 可 能 希望 看 到 Swarm 还 是 很 有 潜力 的 ， 也 有 了 足够 的 基础 知识 来 


尝试 一 下 Swam。 这 里 我 再 次 提醒 一 下 ，Swarm 还 处 于 beta 阶 段 ， 还 不 
推荐 在 生产 环境 中 使 用 。 


7.4 ”其 他 编 配 工具 和 组 件 


正如 前 面 提 到 的 ，Compose 和 Consul 不 是 Docker 编 配 工 具 这 个 家 族 里 
唯一 的 选择 。 编 配 工具 是 一 个 快速 发 展 的 生态 环境 ， 没 有 办 法 列 出 这 
个 领域 中 的 所 有 可 用 的 工具 。 这 些 工 具 的 功能 不 尽 相 同 ， 不 过 大 部 分 
都 属于 以 下 两 个 类 型 : 


。 调度 和 集群 管理 ; 
。 服务 发 现 。 
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7.4.1 Fleet 和 和 etcd 


Fleet 和 etcd 由 CoreOS 3 团队 发 布 。Fleet ?4 是 一 个 集群 管理 工具 ， 而 
etcd 5] 是 一 个 高 可 用 性 的 键 值 数 据 库 ， 用 于 共享 配置 和 服务 发 现 。 
Fleet 与 systemd 和 etcd 一 起 ， 为 容器 提供 了 集群 管理 和 调度 能 力 。 可 以 
把 Fleet 看 作 是 systemd 的 扩展 ， 只 是 不 是 工作 在 主机 层面 上 ， 而 是 工作 
在 集群 这 个 层面 上 。 


7.4.2 Kubernetes 


Kubernetes !26] 是 由 Google 开 源 的 容器 集群 管理 工具 。 这 个 工具 可 以 使 
用 Docker 在 多 个 簿 主机 上 分 发 并 扩展 应 用 程序 。Kubernetes 主 要 关注 需 
要 使 用 多 个 容 絮 的 应 用 程序 ， 如 弹性 分 布 式微 服务 。 


7.4.3 Apache Mesos 


Apache Mesos 中 项 目 是 一 个 高 可 用 的 集群 管理 工具 。Mesos 从 Mesos 
0.20 开 始 ， 已 经 内 置 了 Docker 集 成 ， 人 允许 利用 Mesos 使 用 容器 。Mesos 
在 一 些 创 业 公司 里 很 流行 ， 如 著名 的 Twitter 和 AirBnB ° 


7.4.4 Helios 


Helios !7°! 项 目 由 Spotify 的 团队 发 布 ， 是 一 个 为 了 在 全 流程 中 发 布 和 管 
理 容 絮 而 设计 的 Docker 编 配 平 台 。 这 个 工具 可 以 创建 一 个 抽象 的 “ 作 
业 ”(job) ， 之 后 可 以 将 这 个 作业 发 布 到 一 个 或 者 多 个 运行 Docker 的 
Helios 答 主机 .。 


7.4.5 Centurion 


Centurion P 是 一 个 基于 Docker 的 部 署 工具 ， 由 New Relic 团 队 打 造 并 
开源 。Centurion 从 Docker Registry 里 找到 容器 ， 并 在 一 组 牡 主 机 上 使 
用 正确 的 环境 变量 、 主 机 卷 映 射 和 端口 映射 来 运行 这 个 容器 。 这 个 工 
具 的 目的 是 帮助 开发 者 利用 Docker 做 持续 部 署 。 


7.5 小结 
本 章 介 绍 了 如 何 使 用 Compose 进 行 编 配 工作 ， 展 示 了 如 何 添加 一 个 


Compose 配 置 文件 来 创建 一 个 简单 的 应 用 程序 栈 ， 还 展示 了 如 何 运 行 
Compose 并 构建 整个 栈 ， 以 及 如 何 用 Compose 完 成 一 些 基 本 的 管理 工 
作 。 


本 章 还 展示 了 服务 发 现 工具 Consul， 人 介绍 了 如 何 将 Consul 安 装 到 
Docker 以 及 如 何 创建 ConsulT 点 集群 ， 还 演示 了 在 Docker 上 人 简单 的 分 
布 式 应 用 如 何 工 作 。 


我 们 还 介绍 了 Docker 自 己 的 集群 和 调度 工具 Docker Swarm ° 


我 们 学 习 了 如 何 安 装 Swarm， 如 何 对 Swarm 进行 管理 ， 以 及 如 何在 
Swarm 集群 间 进 行 任 务 调度 。 


本 章 最 后 展示 了 可 以 用 在 Docker 生 态 环境 中 的 其 他 编 配 工具 。 


下 一 章 会 介绍 Docker API， 如 何 使 用 这 些 API， 以 及 如 何 通过 TLS 与 
Docker 守 护 进程 建立 安全 的 链接 。 
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第 8 章 ”使 用 Docker API 


在 第 6 章 中 ， 我 们 已 经 学 习 了 很 多 优秀 的 例子 ， 关 于 如 何在 Docker 中 运 
行 服务 和 构建 应 用 程序 ， 以 及 以 Docker 为 中 心 的 工作 流 。TProv 应 用 就 
是 其 中 一 例 ， 它 主要 以 在 命令 行 中 使 用 docker 程序 ， 并 且 获 取 标 准 
输出 的 内 容 。 从 与 Docker 进 行 集成 的 角度 来 看 ， 这 并 不 是 一 个 很 理想 
的 方 T a 用 户 完 全 可 以 直接 将 这 些 
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在 本 章 中 ， 我 们 将 会 介绍 Docker API， 并 看 看 如 何 使 用 它 。 我 们 已 经 
了 解 了 如 何 将 Docker 守 护 进 程 绑 定 到 网 络 端口 ， 从 现在 开始 我 们 将 会 
从 一 个 更 高 的 层次 对 Docker API 进 行 审视 ， 并 抓 住 它 的 核心 内 容 。 我 
们 还 会 再 回顾 一 下 TProv 这 个 应 用 ， 这 个 应 用 我 们 在 第 6 章 里 已 经 见 过 
了 ， 在 本 章 我 们 会 将 其 中 直接 使 用 了 docker 命令 行程 序 的 部 分 用 
Docker API 进 行 重 写 。 最 后 ， 我 们 还 会 再 看 一 下 如 何 使 用 TLS 来 实现 
API 中 的 认证 功能 。 


8.1 Docker API 


在 Docker 生 态 系统 中 一 共有 3 种 APII o 


。 Registry API: 提供 了 与 来 存储 Docker 镜 像 的 Docker Registry 集 成 
的 功能 。 

。 Docker Hub API: 提供 了 与 Docker Hub 2! 集成 的 功能 。 

。 Docker Remote API: 提供 与 Docker 守 护 进 程 进行 集成 的 功能 © 


所 有 这 3 种 API 都 是 RESTful P! 风格 的 。 在 本 章 中 ， 我 们 将 会 着 重 对 
Remote API 进 行 介绍 ， 因 为 它 是 通过 程序 与 Docker 进 行 集成 和 交互 的 
核心 内 容 。 


8.2 #JiARemote API 


让 我 们 浏览 一 下 Docker Remote API， 并 看 看 它 都 提供 了 哪些 功能 。 首 
先 需 要 牢记 的 是 ，Remote API 是 由 Docker 守 护 进 程 提供 的 。 在 默认 情 
况 下 ，Docker 守 护 进 程 会 绑 定 到 一 个 所 在 答 主 机 的 套 授 字 ， 即 
unix:///var/run/docker .sock 。Docker 守 护 进程 需要 以 root 
权限 来 运行 ， 以 便 它 有 足够 的 权限 去 管理 所 需要 的 资源 。 也 正如 在 第 2 
章 所 阐述 的 那样 ， 如 果 系 统 中 存在 一 个 名 为 docker 用 户 组 ，Docker 
会 将 上 面 所 说 的 套 接 字 的 所 有 者 设 为 该 用 户 组 。 因 此 任何 属于 


-省 汪 说 记 ， 虽 然 docker 用 户 组 让 我 们 的 工作 变 得 更 轻松 ， 但 它 依旧 是 一 个 值得 注意 的 安 
全 隐患 。 可 以 认为 docker 用 户 组 和 root 具有 相当 的 权限 ， 应 该 确保 只 有 那些 需要 此 权限 
的 用 户 和 应 用 程序 才能 使 用 该 用 户 组 。 


如 果 我 们 只 查询 在 同一 台 答 主机 上 运行 Docker 的 Remote API， 那 么 上 
面 的 机 制 看 起 来 没什么 问题 ， 但 是 如 果 我 们 想 远 程 访 问 Remote API, 
我 们 就 需要 将 Docker 守 护 进 程 绑 定 到 一 个 网 络 接口 上 去 。 我 们 只 需要 
给 Docker 守 护 进程 传递 一 个 -H 标志 即 可 做 到 这 一 点 。 


如 果 用 户 可 以 在 本 地 使 用 Docker API， 那 么 就 可 以 使 用 nc 命令 来 进行 
查询 ， 如 代码 清单 8-1 所 示 。 


代码 清单 8-1 ”在 本 地 查询 Docker API 


$ echo -e "GET /info HTTP/1.0\r\n" | sudo nc -U /var/run/docker. 
sock 


在 大 多 数 操作 系统 上 ， 可 以 通过 编辑 守护 进程 的 启动 配置 文件 将 
Docker 守 护 进程 绑 定 到 指定 网 络 接 口 。 对 于 Ubuntu 或 者 Debian， 我 们 
需要 编辑 /etc/default/docker 文件 ， 对 于 使 用 了 Upstart 的 系 
统 ， 则 需要 编辑 /etc/init/docker .conf 文 件 ， 对 于 Red Hat > 
Redora 及 相关 发 布 版 本 ， 则 需要 编辑 /etc/sysconfig/docker 文 
件 ， 对 于 那些 使 用 了 ``Systemd 的 发 布 版 本 ， 则 需要 编 

辑 /usr/1ib/systemd/system/docker.service 文 件 。 


让 我 们 来 看 看 如 何在 一 个 运行 systemd 的 Red Hat 衍 生 版 上 将 Docker 守 护 
进程 绑 定 到 一 个 网 络 接口 上 。 我 们 将 编 
#/usr/lib/systemd/system/docker ,service 文件， 将 代码 
清单 8-2 所 示 的 内 容 修改 为 代码 清单 8-3 所 示 的 内 容 。 


代码 清单 8-2 ”默认 的 Systemd 守 护 进程 启动 选项 


ExecStart=/usr/bin/docker -d --selinux-enabled 


代码 清单 8-3” 绑 定 到 网 络 接口 的 Systemd 守 护 进 程 启动 选项 


ExecStart=/usr/bin/docker -d --selinux-enabled -H 
tcp://0.0.0.0:2375 


这 将 把 Docker 守 护 进 程 绑 定 到 该 答 主 机 的 所 有 网 络 接口 的 2375 端 口 
上 。 之 后 需要 使 用 Systemct1 命令 来 重新 加 载 并 启动 该 守护 进程 ， 
如 代码 清单 8-4 所 示 。 


代码 清单 8-4 重新 加 载 和 启动 Docker 守 护 进 程 


$ sudo systemctl --system daemon-reload 


EZB ot BARE fl Docker EAL LAE BC AMDockerEWLZ lal ASB SRE 
允许 用 户 在 2375 端 口上 与 该 IP 地 址 进行 TCP 通 信 。 


现在 我 们 可 以 通过 docker 客户 端 命 令 的 -H 标志 来 测试 一 下 刚才 的 配 
ee 。 让 我 们 从 一 台 远 程 主 机 来 访问 Docker 守 护 进程 ， 如 代码 
清单 8-5 所 示 。 


代码 清单 8-5 ”连接 到 远程 Docker 守 护 进 程 


上 


$ sudo docker -H docker.example.com:2375 info 
Containers: 0 


Images: 0 
Driver: devicemapper 
Pool Name: docker -252:0-133394-pool 
Data file: /var/lib/docker/devicemapper/devicemapper/data 
Metadata file: 
/var/1ib/docker/devicemapper/devicemapper/metadata 


这 里 假定 Docker 所 在 主机 名 为 docker .example. com , 并 通过 -H i 标 
志 来 指定 了 该 主机 名 。Docker 提 供 了 更 优雅 的 DOCKER_H0OST 环境 变 
量 〈 见 代码 清单 8-6) ， 这 样 就 省 掉 了 每 次 都 需要 设置 -H ERAS 


代码 清单 8-6 ”检查 DOCKER_HOST 环境 变量 


$ export DOCKER_HOST="tcp://docker.example.com:2375" 


上司 请 记 住 ， 与 Docker 守 护 进程 之 间 的 网 网 络 连 搂 是 没有 经 过 认证 的 ， 是 对 外 开放 的 。 在 本 
草 的 后 面 ， 我 们 将 会 看 到 如 何 为 网 络 连 接 加 入 认证 功能 


8.3 测试 Docker Remote API 


现在 已 经 通 过 docker 程序 建立 并 确认 了 与 Docker 守 护 进程 之 间 的 网 
络 连通 性 ， 接 着 我 们 来 试 试 直接 连接 到 API。 为 了 达到 此 目的 ， 会 用 
到 curl 命令 。 接 下 来 连接 到 info API 接 入 点 ， 如 代码 清单 8-7 所 示 ， 
这 会 返回 与 docker info 命令 大 致 相同 的 信息 。 


代码 清单 8-7 使 用 info API 接 入 点 


$ curl http://docker.example.com:2375/info 


{ 
"Containers": 0, 
"Debug": 0, 
"Driver": "devicemapper", 


"IPv4Forwarding": 1, 

"Images": 0, 

"IndexServerAddress": "https://index.docker.io0/v1/", 
"TnitPath": "/usr/libexec/docker/dockerinit", 
"TnitShat": "dafd83a92eb0fc7c657e8eae06bF493262371a7a", 
"KernelVersion": "3.9.8-300.fc19.x86_64", 
"LXCVersion": "0.9.0", 

"MemoryLimit": 1, 

"NEventsListener": 0, 

"NFd": 10, 

"NGoroutines": 14, 

"SwapLimit": 0 


PO 
这 里 通过 cur1l 命令 连接 到 了 提供 了 Docker API 的 网 址 


http://docker.example.com :2375 ， 并 指定 了 到 Docker API 的 
路 径 : 主机 docker .example.com 上 的 2375 端口 ，info 接 入 点 。 


可 以 看 出 ，API 返 回 的 都 是 JSON 散 列 数 据 ， 上 面 的 例子 的 输出 里 包括 
了 关于 Docker 守 护 进 程 的 系统 信息 。 这 展示 出 Docker API UEY L 
作 并 返回 了 一 些 数据 。 

8.3.1 ”通过 API 来 管理 Docker 镜 像 


让 我 们 从 一 些 基础 的 API 开 始 :， 操作 Docker 镜 像 的 API。 我 们 将 从 获取 
Docker 守 护 进 程 中 所 有 镜像 的 列表 开始 ， 如 代码 清单 8-8 所 示 。 


代码 清单 8-8 通过 API 获 取 镜 像 列 表 


$ curl http://docker.example.com:2375/images/json | python - 
mjson.tool 


[ 


"Created": 1404088258, 
"Ta": "Nd 


e9e5fdd46221b6d83207aa62b3960a0472b40a89877ba71913998ad9743e065", 
"ParentId":"7 
cd0eb092704d1be04173138be5caee3a3e4bea5838dcde9ce0504cdci1f24cbb", 
"RepoTtags": [ 
"docker:master" 
] 


1 
"Size": 186470239, 
"VirtualSize": 1592910576 


ty 


"Created": 1403739688, 
"Tq: "15 
d0178048e904fee25354db77091b935423a829f171f3e3cf27f04ffcf7cf56", 
"ParentId": "74830 
af969b02bb2cec5fe04bb2e168a4f8d3db3ba504e89cacba99a262baf48", 
"RepoTags": [ 
"jamtur01/jekyll:latest" 
] 


了 
"Size": 0, 


"VirtualSize": 607622922 


E 滞 我 们 已 经 使 用 Python 的 JSON 工 具 对 API 的 返回 结果 进行 了 格式 化 处 理 。 


这 里 使 用 了 /images/json 这 个 接 入 点 ， 它 将 返回 Docker 守 护 进 程 中 
的 所 有 镜像 的 列表 。 它 的 返回 结果 提供 了 与 docker images 命令 非 
常 类 似 的 信息 。 我 们 也 可 以 通过 镜像 ID 来 查询 某 一 锐 像 的 信息 ， 如 代 
ine -9 所 示 ， 这 非常 类 似 于 使 用 docker inspect 命令 来 查看 某 
bi RID e 


代码 清单 8-9 ”获取 指定 镜像 


curl <a>http://docker.example.com:2375/images/</a> 

15 

d0178048e904fee25354db77091b935423a829F171F 3e3cf27F04FFcf7cf56/ 
json | python -mjson.tool 


"Architecture": "amd64", 
"Author": "James Turnbull <james@example.com>", 
"Comment" : UMS 
"Config": { 

"AttachStderr": false, 

"AttachStdin": false, 

"AttachStdout": false, 

"Cmd" í [ 

"--config=/etc/jekyll.conf" 
], 


上 面 是 我 们 查看 jamtur01/jeky11 镜像 时 输出 的 一 部 分 内 容 。 最 
后 ， 也 像 命 令 行 一 样 ， 我 们 也 可 以 在 Docker Hub 上 查找 镜像 ， 如 代码 
清音 8-10 所 未 o 


代码 清单 8-10 ”通过 API 搜 索 镜像 


$ curl "http://docker.example.com:2375/images/search?term= 
jamtur0i" | python -mjson.tool 


[ 
{ 


"description": "", 

"is official": false, 

"is trusted": true, 

"name": "jamtur01/docker-presentation", 
"star_count": 2 


ty 
{ 
"description": "", 
"is official": false, 
"is _ trusted": false, 
"name": "jamtur01/dockerjenkins", 
"star_count": 1 


ty 


在 上 面 的 例子 里 我 们 搜索 了 和 名字 中 市 jamturg91 的 所 有 镜像 ， 并 显示 
了 该 搜索 返回 结 采 的 一 部 分 内 容 。 这 只 是 使 用 Docker API 能 完成 的 工 


作 的 一 个 例子 而 已 ， 实 际 上 还 能 用 API 进 行 镜 像 构 建 、 更 新 和 删除 。 
8.3.2 ”通过 API 管 理 Docker 容 器 


Docker Remote API 也 提供 了 所 有 在 命令 行 中 能 使 用 的 对 容器 的 所 有 操 
作 。 我 们 可 以 使 用 /containers 接 入 点 列 出 所 有 正在 运行 的 容器 ， 
如 代码 清单 8-11 所 示 ， 就 像 使 用 docker ps 命令 一 样 。 


代码 清单 8-11 列 出 正在 运行 的 容器 


$ curl -s "http://docker.example.com:2375/containers/json" | 
python -mjson.tool 


[ 

"Command": "/bin/bash", 

"Created": 1404319520, 

"Tq"! A 

"cf925ad4f3b9fea231aee386ef122F8F99375a90d47Ffc7che43facid96 
2dc51b", 

"Image": "ubuntu:14.04", 

"Names": [ 


"/desperate_euclid" 


], 
"Ports": [], 
"Status": "Up 3 seconds" 


| 
这 个 查询 将 会 显示 出 在 Docker 御 主机 上 正在 运行 的 所 有 容器 ， 在 这 个 
例子 里 只 有 一 个 容 种 在 运行 。 如 有 果 想 同时 列 出 正在 运行 的 和 已 经 停止 
Aa, Foal DER APH all 标志 ， 并 将 它 的 值 设 置 为 1 ， 
如 代码 清单 8-12 所 示 。 


代码 清单 8-12 ”通过 API 列 出 所 有 容器 


http://docker.example.com:2375/containers/json?all=1 


我 们 也 可 以 通过 使 用 POST 请 求 来 调用 /containers/create 接 入 
点 来 创建 容器 ， 如 代码 清单 8-13 所 示 。 这 是 用 来 创建 容器 的 API 调 用 的 
一 个 最 简单 的 例子 。 


代码 清单 8-13 ”通过 API 创 建 容器 


$ curl -X POST -H "Content-Type: application/json" \ 
http://docker.example.com:2375/containers/create \ 
-d '{ 

"Image":"jamtur01/jekyl1" 


{"Id":"591 
ba02d8d149e5ae5ec2ea30ffe85ed47558b9a40b7405e3b71553d9e59bed3", 
"Warnings" :null} 


我 们 调用 了 /containers/create 接 入 点 ， 并 POST 了 一 个 JSON 散 
列 数 据 ， 这 个 结构 中 包括 要 启动 的 镜像 名 。 这 个 API 返 回 了 刚 创 建 的 


容器 的 ID， 以 及 可 能 的 警告 信息 。 这 条 命令 将 会 创建 一 个 容器 。 


我 们 可 以 在 创建 莉 容 右 的 时 候 提供 更 多 的 配置 ， 这 可 以 通过 在 JSON 散 
列 数据 中 加 入 键 值 对 来 实现 ， 如 代码 清单 8-14 所 示 。 


代码 清单 8-14 ”通过 API 配 置 容器 启动 选项 


$ curl -X POST -H "Content-Type: application/json" \ 
"http://docker.example.com:2375/containers/create?name=jekyll" \ 
-d '{ 

"Image":"jamtur01/jekyll", 


"Hostname": "jekyll" 


1 


{"Id":"591 
ba02d8d149e5ae5ec2ea30ffe85ed47558b9a40b7405e3b71553d9e59bed3", 
"Warnings" :null} 


上 面 的 例子 中 我 们 指定 了 Hostname 键 ， 它 的 值 为 jeky11 ， 用 来 为 
所 要 创建 的 容 絮 设置 主机 名 。 


要 启动 一 个 容器 ， 需 要 使 用 /containers/start 接 入 点 ， 如 代码 清 
单 8-15 所 示 。 


代码 清单 8-15 ”通过 API 启 动容 器 


$ curl -X POST -H "Content-Type: application/json" \ 
http://docker.example.com:2375/containers/591 


ba02d8d149e5ae5ec2ea30f fe85ed47558b9a40b7405e3b71553d9e59bed3/star 
t 入 


-d '{ 


} 1 


"PublishAllPorts":true 


将 这 两 个 API 组 合 在 一 起 ， 束 提供 了 与 docker run 相同 的 功能 ， 如 
代码 清单 8-16 所 示 。 


代码 清单 8-16 ” API 等同 于 docker run 命令 


$ sudo docker run jamtur01/jekyll 


我 们 也 可 以 通过 /containers/ A BORE! Ml CEA ae TE 
思 ， 如 代码 清单 8-17 所 示 。 


代码 清单 8-17 通过 API 列 出 所 有 容器 


$ curl <a>http://docker.example.com:2375/containers/</a> 

591 
ba02d8d149e5ae5ec 2ea30f Fe85ed47558b9a40b 7405e3b71553d9e59bed3/ 
json | python -mjson.tool 


"Args": [ 


"build", 
"--destination=/var/www/htm1l" 
1, 
i "Hostname": "591ba02d8d14", 
"Image": "jamtur@1/jekyll", 


"Tg": "591 


ba@2d8d149e5ae5ec2ea30f fe85ed47558b9a40b7405e3b71553d9e59bed3", 
"Image": "29 


d4355e575cff59d7b7ad837055f231970296846ab58a037dd84be520d1cc31", 


"Name": "/hopeful_davinci", 


在 这 里 可 以 看 到 ， 我 们 使 用 了 容器 ID 碍 询 了 我 们 的 容器 ， 并 展示 了 提 
供给 我 们 的 数据 的 示例 。 


8.4 改进 TProv 应 用 


现在 让 来 看 看 第 6 章 的 TProv 应 用 里 所 使 用 的 方法 。 我 们 来 看 看 用 来 创 
建 和 删除 Docker 容 需 的 具体 方法 ， 如 代码 清单 8-18 所 示 。 


代码 清单 8-18 ”旧版 本 TProv 容 器 启动 方法 


def get_war(name, url) 


cid = ‘docker run --name #{name} jamturO01/fetcher #{url} 
2>&1 .chop 


puts cid 
[$?.exitstatus == 0, cid] 
end 
def create_instance(name) 
cid = ‘docker run -P --volumes-from #{name} -d -t jamtur01/ 


tomcat7 2>&1 .chop 
[$?.exitstatus == 0, cid] 

end 

def delete_instance(cid) 
kill = `docker kill #{cid} 2>&1° 
[$?.exitstatus == 0, kill] 

end 


EZI 可 以 在 本 书 网 站 四 或 者 GitHub 5! 看 到 之 前 版 本 的 TProv 代 码 。 


很 粗糙 ， 不 是 吗 ? 我 们 直接 使 用 了 docker 程序 ， 然 后 再 捕获 它 的 输 
出 结 有 末 。 从 很 多 方面 来 说 这 都 是 有 问题 的 ， 其 中 最 重要 的 是 用 户 的 
TProv 应 用 将 只 能 运行 在 安装 了 Docker 客 户 端的 机 器 上 。 


我 们 可 以 使 用 Docker 的 客户 端 库 利 用 Docker API 来 改善 这 种 问题 。 在 
本 例 中 ， 我 们 将 使 用 Ruby Docker-API 客 户 端 库 [6] 。 
E TL http://docs.docker. RE api_client_libraries/ 找到 可 用 的 


Docker 客 户 端 库 的 完整 列表 。 目 前 Docker 已 经 拥有 了 Ruby、Python、Node.JS、Go、 
Erlang、Java 以 及 其 他 语言 的 库 。 


让 我 们 先 来 看 看 如 何 建立 到 Docker API 的 连接 ， 如 代码 清单 8-19 所 
不 o 


代码 清单 8-19 Docker Ruby 客 户 端 库 


require 'docker' 


module TProv 
class Application < Sinatra: :Base 


Docker.url = ENV['DOCKER_URL'] || '‘http://localhost:2375' 
Docker.options = { 
:ssl_verify_peer => false 


我 们 通过 require 指令 引入 了 docker -api 这 个 gem。 为 了 能 让 程序 
正确 运行 ， 需 要 事先 安装 这 个 gem， 或 者 把 它 加 到 TProv 应 用 的 gem 
specification FÆ ° 


之 后 我 们 可 以 用 Docker .url 方法 指定 我 们 想 要 连接 的 Docker 答 主机 
的 地 址 。 在 上 面 的 代码 里 ， 我 们 用 了 DOCKER_URL 这 个 环境 变量 来 指 
定 这 个 地 址 ， 或 者 使 用 默认 值 http://localhost:2375 ° 


我 们 还 通过 Docker .options 指定 了 我 们 想 传递 给 Docker 守 护 进程 
连接 的 选项 。 


我 们 还 可 以 通过 IRB shell 在 本 地 来 验证 我 们 的 设想 。 现 在 就 来 试 一 
a 。 用 户 需 要 在 自己 想 测 试 的 机 器 上 先 安 装 Ruby， 如 代码 清单 8-20 所 
。 这 里 假设 我 们 使 用 的 事 Fedora 宿 主机 。 


代码 清单 8-20 ”安装 Docker Ruby 客 户 端 API 


$ sudo yum -y install ruby ruby-irb 


$ sudo gem install docker-api json 


现在 我 们 就 可 以 用 irb 命令 来 测试 Docker API 连 接 了 ， 如 代码 清单 8- 
21 所 示 。 


代码 清单 8-21 Mirb 测试 Docker API 连 接 


$ irb 
irb(main):001:0> require 'docker'; require 'pp' 
=> true 
irb(main):002:0> Docker.url = 'http://docker.example.com:2375' 
=> "http://docker.example.com: 2375" 
irb(main):003:0> Docker.options = { :ssl_verify_peer => false } 
=> {:ssl_verify_peer=>false} 
irb(main):004:0> pp Docker.info 
{"Containers"=>9, 
"Debug"=>0, 
"Driver"=>"aufs", 
"DriverStatus"=>[["Root Dir", "/var/lib/docker/aufs"], ["Dirs", 
"882"] ] g 
"ExecutionDriver"=>"native-0.2", 


irb(main):005:0> pp Docker.version 
{"ApiVersion"=>"1.12", 
"Arch"=>"amd64", 
"GitCommit"=>"990021a", 
"GoVersion"=>"go1.2.1", 
"KernelVersion"=>"3.8.0-29-generic", 
"Os"=>"linux", 

"Version"=>"1.0.1"} 


在 上 面 我 们 启动 了 irb 并 且 加 载 了 docker (通过 require 指令 ) 和 
pp 这 两 个 gem，pp 用 来 对 输出 进行 格式 化 以 方便 查看 。 之 后 我 们 调 
用 了 Docker .url 和 Docker .options 两 个 方法 ， 来 设置 目的 
Docker 主 机 地 址 和 我 们 需要 的 一 些 选项 (这 里 将 禁用 SSL 对 等 验证 ， 
这 样 就 可 以 在 不 通过 客户 端 认 证 的 情况 下 使 用 TLS) 。 


之 后 我 们 又 执行 了 两 个 全 局 方法 Docker ,info 和 Docker .version 
， 这 两 个 Ruby 客 户 端 API 提 供 了 与 docker info 及 docker 
version 两 个 命令 相同 的 功能 。 


现在 我 们 就 可 以 在 TProv 应 用 中 通过 docker-api 这 个 客户 端 库 ， 来 
使 用 API 进 行 容器 管理 。 让 我 们 来 看 一 下 相关 代码 ， 如 代码 清单 8-22 所 
ZR œ 


代码 清单 8-22 ”修改 后 的 TProv 的 容器 从 


Mg 
4 


里 方法 


def get_war(name, url) 

container = Docker::Container.create('Cmd' => url, 'Image' => 
'jamtur01/fetcher', 'name' => name) 

container.start 

container .id 
end 
def create_instance(name) 

container = Docker::Container.create('Image' => 
"jamtur01/tomcat7' ) 

container.start('PublishAllPorts' => true, 'VolumesFrom' => 
name ) 

container .id 
end 
def delete_instance(cid) 

container = Docker: :Container.get(cid) 

container .kill 
end 


可 以 看 到 ， 我 们 用 Docker API 替 换 了 之 前 使 用 的 docker 程序 之 后 ， 
代码 变 得 更 清晰 了 。 我 们 的 get_war 方法 使 用 

Docker: :Container.create 和 Docker: :Container.start 
方法 来 创建 和 启动 我 们 的 jamtur01/fetcher 容器 。 
delete_instance 也 能 完成 同样 的 工作 ， 不 过 创建 的 是 
jamtur01/tomcat7 容器 。 最 后 ， 我 们 对 delete_instance 方法 
进行 了 修改 ， 首 先 会 通过 Docker : :Container.get 方法 根据 参数 
的 容 絮 ID 来 取得 一 个 容 絮 实例 ， 然 后 再 通过 

Docker: :Container . kill 方法 销毁 该 容器 。 


EIJ 读者 可 以 在 本 书 网 站 四 或 者 GitHub (81 上 看 到 改进 后 的 TProv 代 码 。 


8.5 “对 Docker Remote API 进 行 认 证 


我 们 已 经 看 到 了 如 何 连 接 到 Docker Remote API， 不 过 这 也 意味 着 任何 
其 他 人 都 能 连接 到 同样 的 API。 从 安全 的 角度 上 看 ， 这 存在 一 点 儿 安 
全 问题 。 不 过 值得 感谢 的 是 ， 自 Docker 的 0.9 版 本 开始 Docker Remote 
API 开 始 提 供 了 认证 机 制 。 这 种 认证 机 制 采用 了 TLS/SSL 证 书 来 确保 用 
户 与 API 之 间 连 接 的 安全 性 。 


| Bae 该 认证 不 仅仅 适用 于 API。 通 过 这 个 认证 ， 还 需要 配置 Docker 客 户 来 支持 TLS 认 证 。 
在 本 世 中 我 们 也 将 看 到 如 何 对 客户 端 进 行 配置 。 


有 几 种 方法 可 以 对 我 们 的 连接 进行 认证 ， 包 括 使 用 一 个 完整 的 PKI 基 
础 设施 ， 我 们 可 以 选择 创建 自己 的 证 书 授权 中 心 (Certificate 
Authority, CA) ， 或 者 使 用 已 有 的 CA。 在 这 里 我 们 将 建立 自己 的 证 
书 授权 中 心 ， 因 为 这 是 一 个 简单 、 快 速 的 开始 。 


汪汪 这 依赖 于 运行 在 Docker 宿 主机 上 的 本 地 CA。 它 也 不 像 使 用 一 个 完整 的 证 书 授 权 中 心 
| 那样 安全 。 


8.5.1 ”建立 证 书 授权 中 心 

我 们 将 快速 了 解 一 下 创建 所 需 CA 证 书 和 密 钥 (key) 的 方法 ， 在 大 多 
BUTS Ck ete “aE 标准 的 过 程 。 在 开始 之 前 ， 我 们 需要 先 确保 
系统 已 经 安装 好 了 openssl ， 如 代码 清单 8-23 所 示 。 


代码 清单 8-23 ”检查 是 否 已 安装 openssl 


$ which openssl 
/usr/bin/openssl 


让 我 们 在 Docker 御 主机 上 创建 一 个 目 永 来 保存 我 们 的 CA 和 相关 资料 ， 
如 代码 清单 8-24 所 示 。 


代码 清单 8-24 创建 CA 目录 


$ sudo mkdir /etc/docker 


现在 就 来 创建 一 个 CA © 
我 们 需要 先生 成 一 个 私 钥 (private key) ， 如 代码 清单 8-25 所 示 。 
代码 清单 8-25 ”生成 私 钥 


$ cd /etc/docker 

$ echo 01 | sudo tee ca.srl 

$ sudo openssl genrsa -des3 -out ca-key.pem 
Generating RSA private key, 512 bit long modulus 


，, 十 十 十 十 十 十 十 十 十 十 十 十 


十 十 十 十 十 十 十 十 十 十 十 十 
e is 65537 (0x10001) 
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem: 


在 创建 私 钥 的 过 程 中 ， 我 们 需要 为 CA 密 钥 设置 一 个 密码 ， 我 们 需要 牢 
记 这 个 密码 ， 并 确保 它 的 安全 性 。 在 新 CA 中 ， 我 们 需 要 用 这 个 密码 来 
创建 并 对 证 书签 名 。 


上 面 的 操作 也 将 创建 一 个 名 为 ca-key .penm 的 新 文件 。 这 个 文件 是 我 
们 的 CA 的 密 钥 。 我 们 一 定 不 能 将 这 个 文件 透露 给 别人 ， 也 不 能 腊 丢 光 
个 文件 ， 因 为 此 文件 关系 到 我 们 整个 解决 方案 的 安全 性 。 
现在 就 让 我 们 来 创建 一 个 CA 证 书 ， 如 代码 清单 8-26 所 示 。 

代码 清单 8-26 ”创建 CA 证 书 


$ sudo openssl req -new -x509 -days 365 -key ca-key.pem -out 
ca.pem 

Enter pass phrase for ca-key.pem: 

You are about to be asked to enter information that will be 
incorporated 

into your certificate request. 

What you are about to enter is what is called a Distinguished Name 
or a DN. 

There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [AU]: 

State or Province Name (full name) [Some-State]: 

Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 


Organizational Unit Name (eg, section) []: 
Common Name (e.g. server FQDN or YOUR name) []:docker.example.com 
Email Address []: 


这 将 创建 一 个 名 为 ca. pem 的 文件 ， 这 也 是 我 们 的 CA 证 书 。 我 们 之 后 
会 用 这 个 文件 来 验证 连接 的 安全 性 。 


A 目 己 的 CA， 让 我 们 用 它 为 我 们 的 Docker 服 务 器 创建 证 书 
HEH ° 


8.5.2 ”创建 服务 器 的 证 书签 名 请 求 和 密 铀 

我 们 可 以 用 新 CA 来 为 Docker 服 务 器 进行 证 书签 名 请 求 (certificate 
signing request, CSR) 和 密 钥 的 签名 和 验证 。 让 我 们 从 为 Docker 服 务 
右 创 建 一 个 密 钥 开始 ， 如 代码 清单 8-27 所 示 。 


代码 清单 8-27 创建 服务 器 密 钥 


$ sudo openssl genrsa -des3 -out server-key.pem 
Generating RSA private key, 512 bit long modulus 
十 十 十 十 十 十 十 十 十 十 十 十 
十 十 十 十 十 十 十 十 十 十 十 十 


e is 65537 (0x10001) 
Enter pass phrase for server-key.pem: 
Verifying - Enter pass phrase for server-key.pem: 


这 将 为 我 们 的 服务 器 创建 一 个 密 钥 server -key.pem ° RAI H— 
eee 这 是 保证 我 们 的 Docker 服 务 器 安全 
和 基础 。 


EIJ 请 在 这 一 步 设置 一 个 密码 。 我 们 将 会 在 
i 的 几 步 中 使 用 该 密码 。 


ee ate Ngee ee Senne, ane 
ZR e 


E 式 使 用 之 前 清除 这 个 密码 。 用 户 只 需要 在 后 


代码 清单 8-28 创建 服务 器 CSR 


$ sudo openssl req -new -key server-key.pem -out server.csr 
Enter pass phrase for server-key.pem: 


You are about to be asked to enter information that will be 
incorporated 

into your certificate request. 

What you are about to enter is what is called a Distinguished Name 
or a DN. 

There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [AU]: 

State or Province Name (full name) [Some-State]: 

Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 
Organizational Unit Name (eg, section) []: 

Common Name (e.g. server FQDN or YOUR name) []:* 

Email Address []: 

Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password []: 

An optional company name []: 


这 将 创建 一 个 名 为 Server . csr 的 文件 。 这 也 是 一 个 请 求 ， 这 个 请 求 


将 为 创建 我 们 的 服务 器 证 书 进行 签名 。 在 这 些 选项 中 最 重要 的 是 
Common Name 或 CN。 该 项 的 值 要 么 为 Docker 服 务 器 ( 即 从 DNS 中 解 
析 后 得 到 的 结果 ， 比 如 docker .example.com ) | oun (fully 
qualified domain name， 完 全 限定 的 域名 ) 形式 ， 要 么 为 * ， 这 将 允许 
在 任何 服务 器 上 使 用 该 服务 器 证 书 。 


现在 让 我 们 来 对 CSR 进 行 签名 并 生成 服务 器 证 书 ， 如 代码 清单 8-29 所 
ZR e 


代码 清单 8-29 对 CSR 进 行 签名 


$ sudo openssl x509 -req -days 365 -in server.csr -CA ca.pem \ 
-CAkey ca-key.pem -out server-cert.pem 

Signature ok 

subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=* 


Getting CA Private Key 
Enter pass phrase for ca-key.pem: 


在 这 里 ， 需 要 输入 CA 密 钥 文件 的 密码 ， 该 命令 令 会 生成 一 个 名 为 
server-cert.penm 的 文件 ， 这 个 文件 就 是 我 们 的 服务 絮 证 书 。 


SUE RLE BGT RIA RAR ae eS, MURS 8-300177 ° RI] 
1 ETE Docker 守 护 进程 启动 的 时 候 再 输入 一 次 密码 ， 因 此 需要 消除 


代码 清单 8-30 移 除 服务 器 端 密 钥 的 密码 


$ sudo openssl rsa -in server-key.pem -out server-key.pem 
Enter pass phrase for server-key.pem: 


writing RSA key 


现在 ， 让 我 们 为 这 些 文件 添加 一 些 更 为 挛 格 的 权限 来 更 好 地 保护 它 
们 ， 如 代码 清单 8-31 所 示 。 


代码 清单 8-31 设置 Docker 服 务 器 端 密 钥 和 证 书 的 安全 属性 


$ sudo chmod 0600 /etc/docker/server-key.pem /etc/docker/server - 
cert.pem \ 


/etc/docker/ca-key.pem /etc/docker/ca.pem 


8.5.3 ”配置 Docker 守 护 进程 


现在 我 们 已 经 得 到 了 我 们 的 证 书 和 密 钥 ， 让 我 们 配置 Docker 守 护 进程 
来 使 用 它们 。 因 为 我 们 会 在 Docker 守 护 进 程 中 对 外 提供 网 络 套 接 字 服 
务 ， 因 此 需要 先 编 辑 它 的 启动 配置 文件 。 和 之 前 一 样 ， 对 于 Ubuntu 或 
者 Debian 系 统 ， Buf a eerder Ault docker 文件 ， 对 于 
使 用 了 Upstart 的 系统 ， 则 需要 编辑 /etc/init/docker .conf 文 
件 ， 对 于 Red Hat、Fedora 及 相关 发 布 版 本 ， 则 需要 编 

辑 /etc/sysconfig/docker 文件 ， 对 于 那些 使 用 了 Systemd 的 发 布 
版 本 ， 则 需要 编辑 /usr/1ib/systemd/docker .service 文件。 


这 里 我 们 仍然 使 用 运行 Systemd 的 Red Hat 衍 生 版 本 为 例 继续 说 明 。 编 
辑 /usr/ 人 、 ``lib/systemd/system/docker ,service 文件 内 
容 ， 如 代码 清单 8-32 所 示 。 


代码 清单 8-32 ”在 Systemd 中 启用 Docker TLS 


ExecStart=/usr/bin/docker -d -H tcp://0.0.0.0:2376 --tlsverify 
--tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server - 


cert.pem 
--tlskey=/etc/docker/server-key.pem 


GESaS 可 以 看 到 ， 这 里 我 们 使 用 了 2376 端口 ， 这 是 Docker 中 TLS/SSL 的 默认 端口 号 。 对 于 
非 认 证 的 连接 ， 只 能 使 用 2375 这 个 端口 。 


这 段 代 码 通过 使 用 - -tlsverify 标志 来 局 用” TLS ` o 我 们 还 人 区 
用 ``--tlscacert``、``--tlscert`` 和 ``-tlskey ` 这 .3 
个 参数 指定 了 CA 证 书 、 证 书 和 密 钥 的 位 置 。 关 于 TLS 还 有 很 多 其 他 选 
项 可 以 使 用 ， 请 参考 http://docs.docker.com/articles/https/ ° 


EZY 可 以 使 用 - -t1s 标志 来 只 启用 TLS， 而 不 启用 客户 端 认证 功能 


然后 我 们 需 要 重新 加 载 并 启动 Dockers 扩 进程 这 可 以 使 用 
a 命令 来 完成 ， 如 代码 清单 8- a ie 


代码 清单 8-33 ”重新 加 载 并 启动 Docker 守 护 进 程 


$ sudo systemctl --system daemon-reload 


8.5.4 创建 客户 端 证 书 和 密 铀 


我 们 的 服务 器 现在 已 经 局 用 了 TLS; 接 下 来 ， 我 们 需要 创建 和 签名 证 
书 和 密 铀 ， 以 保证 我 们 Docker 客 户 端的 安全 性 。 让 我 们 先 从 创建 客户 
端 密 钥 开始 ， 如 代码 清单 8-34 所 示 。 


代码 清单 8-34 ”创建 客户 端 密 钥 


$ sudo openssl genrsa -des3 -out client-key.pem 
Generating RSA private key, 512 bit long modulus 
十 十 十 十 十 十 十 十 十 十 十 十 
十 十 十 十 十 十 十 十 十 十 十 十 


e is 65537 (0x10001) 
Enter pass phrase for client-key.pem: 
Verifying - Enter pass phrase for client-key.pem: 


这 将 创建 一 个 名 为 client-key.penm 的 密 钥 文件 。 我 们 同样 需要 在 
创建 阶段 设置 一 个 临时 性 的 密码 。 


现在 让 我 们 来 创建 客户 端 CSR， 如 代码 清单 8-35 所 示 。 


代码 清单 8-35 ”创建 客户 端 CSR 


$ sudo openssl req -new -key client-key.pem -out client.csr 

Enter pass phrase for client-key.pem: 

You are about to be asked to enter information that will be 
incorporated 

into your certificate request. 

What you are about to enter is what is called a Distinguished Name 
or a DN. 

There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 


Country Name (2 letter code) [AU]: 

State or Province Name (full name) [Some-State]: 
Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 
Organizational Unit Name (eg, section) []: 
Common Name (e.g. server FQDN or YOUR name) []: 
Email Address []: 

Please enter the following 'extra' attributes 
to be sent with your certificate request 

A challenge password []: 

An optional company name []: 


接 下 来 ， 我 们 需要 通过 添加 一 些 扩展 的 SSL 属 性 ， 来 开局 我 们 的 密 钥 
的 客户 端 身 份 认证 ， 如 代码 清单 8-36 所 示 。 


代码 清单 8-36 ”添加 客户 端 认 证 局 


$ echo extendedKeyUsage = clientAuth > extfile.cnf 


现在 让 我 们 在 目 己 的 CA 中 对 客户 端 CSR 进 行 等 名 ， 如 代码 清单 8-37 所 
ZR ° 


性 


tin 
oy 


代码 清单 8-37 ”对 客户 端 CSR 进 行 签 名 


$ sudo openssl x509 -req -days 365 -in client.csr -CA ca.pem \ 
-CAkey ca-key.pem -out client-cert.pem -extfile extfile.cnf 
Signature ok 

subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd 

Getting CA Private Key 


Enter pass phrase for ca-key.pem: 


我 们 再 使 用 CA 密 钥 的 密码 创建 男 一 个 证 书 : client-cert.pem ° 


最 后 ， 我 们 需要 清除 client-cert .pem 文件 中 的 密码 ， 以 便 在 
Docker 客 户 端 中 使 用 该 文件 ， 如 代码 清单 8-38 所 示 。 


代码 清单 8-38 ” 移 除 客户 端 密 钥 的 密码 


$ sudo openssl rsa -in client-key.pem -out client-key.pem 
Enter pass phrase for client-key.pem: 


writing RSA key 


8.5.5 “配置 Docker 客 户 端 开 启 认 证 功能 


接 下 来 ， 配 置 我 们 的 Docker 客 户 端 来 使 用 我 们 新 的 TLS 配 置 。 之 所 以 
需要 这 么 做 ， 是 因为 Docker 守 护 进程 现在 已 经 准备 接收 来 自 客户 端 和 
API 的 经 过 认证 的 连接 。 


我 们 需要 将 ca.pem、client-cert.pem 和 client-key.pem 这 3 
个 文件 复制 到 想 运 行 Docker 客 户 端的 和 宿主 机 上 。 


Ease. 有 了 这 些 密 钥 就 能 以 root 身 份 访问 Docker 守 护 进程 ， 应 该 妥善 保管 这 些 密 钥 
让 我 们 把 它们 复制 到 ,docker 目录 下 ， 这 也 是 Docker 人 查找 证 书 和 密 钥 
的 默认 位 置 。Docker 默 认 会 查找 key .pem »cert.pem 和 我 们 的 CA 
证 书 ca.pem ， 如 代码 清单 8-39 所 示 。 


代码 清单 8-39 复制 Docker 客 户 端的 密 钥 和 证 书 


mkdir -p ~/.docker/ 
cp ca.pem ~/.docker/ca.pem 
cp client-key.pem ~/.docker/key.pem 


cp client-cert.pem ~/.docker/cert.pem 
chmod 0600 ~/.docker/key.pem ~/.docker/cert.pem 


现在 来 测试 从 客户 端 到 Docker 守 护 进程 的 连接 。 要 完成 此 工作 ， 我 们 
将 使 用 docker info 命令 ， 如 代码 清单 8-40 所 示 。 


代码 清单 8-40 测试 TLS 认 证 过 的 连接 


$ sudo docker -H=docker.example.com:2376 --tlsverify info 
Containers: 33 


Images: 104 

Storage Driver: aufs 
Root Dir: /var/lib/docker/aufs 
Dirs: 170 


Execution Driver: native-0.1 

Kernel Version: 3.8.0-29-generic 
Username: jamtur01 

Registry: [https://index.docker .io/v1/ ] 
WARNING: No swap limit support 


可 以 看 到 ， 我 们 已 经 指定 了 -H 标志 来 告诉 客户 端 要 连接 到 哪 台 主 机 。 
如 果 不 想 在 每 次 启动 Docker 客 户 端 时 都 指定 -H 标志 ， 那 么 可 以 使 用 
DOCKER_HOST 环境 变量 。 男 外 ， 我 们 也 指定 了 - -tlsverify 标 
注 ， 它 使 我 们 通过 TLS 方 式 连接 到 Docker 守 护 进程 。 我 们 不 需要 指定 
任何 证 书 或 者 密 钥 文件 ， 因 为 Docker 会 自己 在 我 们 的 ~/ .docker/ H 
录 下 查找 这 些 文件 。 如 果 确 实 需 要 指定 这 些 文件 ， 则 可 以 使 用 -- 
tlscacert ` --tlscert 和 - -tlskey 标志 来 指定 这 些 文件 的 位 
置 。 


如 有 果 不 指 定 TLS 连 接 将 会 怎样 呢 ? 让 我 们 去 掉 - -tlsverify 标志 后 
再 斌 一下， 入 代码 清单 8-41 所 示 。 


代码 清单 8-41 测试 TLS 连 接 过 的 认证 


$ sudo docker -H=docker.example.com:2376 info 
2014/04/13 17:50:03 malformed HTTP response 
"\X15\x03\x01\x00\x02\x02" 


$ 
在 连接 上 局 用 TLS， 可 能 是 没有 指定 正确 的 TLS 配 置 ， 也 可 能 是 用 户 
的 证 书 或 密 钥 不 正确 。 


如 采 一 切 都 能 正常 工作 ， 现 在 就 有 了 一 个 经 过 认证 的 Docker 连 接 了 。 


8.6 小结 


在 这 一 章 中 我 们 介绍 了 Docker Remote API。 我 们 还 了 解 了 如 何 通过 
SSL/TLS 证 书 来 保护 Docker Remote API; 研究 了 Docker API， 以 及 如 
何 使 用 它 来 管理 镜像 和 容器 ; 看 到 了 如 何 使 用 Docker API 客 户 端 库 之 
一 来 改写 我 们 的 TProv 应 用 ， 让 该 程序 直接 使 用 Docker API ° 


在 下 一 草 也 就 是 最 后 一 章 中 ， 我 们 将 讨论 如 何 对 Docker 做 出 页 献 。 


[1] 
[2] 
[3] 
[4] 
[5] 


http://docs.docker.com/reference/api/ 

http://hub.docker.com 
http://en.wikipedia.org/wiki/Representational_state_transfer 
http://dockerbook.com/code/6/tomcat/tprov/ 


https://github.com/jamtur01/dockerbook- 


code/tree/master/code/6/tomcat/tprov 


[6] 
[7] 
[8] 


https://github.com/swipely/docker-api 
http://dockerbook.com/code/8/tprov_api/ 


https://github.com/jamtur01/dockerbook- 


code/tree/master/code/8/tprov_api 


第 9 章 ”获得 帮助 和 对 Docker 


进行 改进 


Docker 目 前 还 处 在 婴儿 期 ， 还 会 经 党 出 错 。 本 章 将 会 讨论 如 下 内 容 。 


。 如 何以 及 从 哪里 获得 帮助 。 

。 问 Docker 贡 献 补丁 和 新 特性 。 
读者 会 发 现在 哪里 可 以 找到 Docker 的 用 户 ， 以 及 寻求 帮助 的 最 佳 途 
径 。 读 者 还 会 学 到 如 何 参与 到 Docker 的 开发 者 社区 : 在 Docker 开 源 社 
区 有 数 百 提交 者 ， 他 们 贡献 了 大 量 的 开发 工作 。 如 果 对 Docker 感 到 兴 
盏 ， 为 Docker 项 目 做 出 自己 的 页 献 是 很 容易 的 。 本 章 还 会 介绍 关于 如 
何 贡献 Docker 项 目 ， 如 何 构建 一 个 Docker 开 发 环境 ， 以 及 如 何 建立 一 
个 良好 的 pull request 的 基础 知识 。 


EIJ 本 章 假设 读者 都 具备 Git、GitHub 和 Go 语言 的 基本 知识 ， 但 不 要 求 读者 一 定 是 特别 精 


通 这 些 知识 的 开发 者 。 
9.1 ”获得 帮助 


Docker 的 社区 庞大 且 友 好 。 大 多 数 Docker 用 户 都 集中 使 用 下 面 3 节 中 介 
绍 的 3 种 方式 。 


| 上司 Docker 公 司 也 提供 了 对 企业 的 付费 Docker 支 持 。 可 以 在 支持 页 面 看 到 相关 信息 。 
9.1.1 Docker 用 户 、 开 发 邮件 列表 及 论坛 
Docker 用 户 和 开发 邮件 列表 具体 如 下 。 


。Docker 用 户 邮 件 列表 止 。 
。Docker 开 发 者 邮件 列表 器 。 


Docker 用 户 列 表 一 般 都 是 关于 Docker 的 使 用 方法 和 求助 的 问题 。 
Docker 开 发 者 列表 则 更 关注 与 开发 相关 的 疑问 和 问题 。 


还 有 Docker 论 坛 B 可 用 。 
9.1.2 IRC 上 的 Docker 


Docker 社 区 还 有 两 个 很 强大 的 IRC 频 道 : #docker 和 #docker-dev 
。 这 两 个 频道 都 在 Freenode IRCH M E o 


#docker 频道 一 般 也 都 是 讨论 用 户 求 助 和 基本 的 Docker 问 题 的 ， 而 
#docker -dev 都 症 Docker 页 献 者 用 来 讨论 Docker 源 代码 的 。 


可 以 在 https://botbot.me/freenode/docker/ 查看 #docker 频道 的 历史 信 
局， 在 https:/ botbot. me/freenode/docker-dev/ 查看 #docker - dev 频道 
的 历史 信息 


9.1.3” GitHub 上 的 Docker 


Docker (和 它 的 大 部 分 组 件 以 及 生态 系统 ) 都 托管 在 GitHub 
(http://www.github.com ) 上 。Docker 本 身 的 核心 仓库 在 
https://github.com/docker/docker/ ° 


其 他 一 些 要 天 注 的 仓库 如 下 。 


e distribution: 能 独立 运行 的 Docker Registry 分 发 工具 。 
e runc [6] :Docker 容 器 格式 和 CLI 工 具 。 

。 Docker Swarm 7! : Docker 的 编 配 框架 。 

e Docker Compose [8] : Docker Compose I F ° 


9.2 ”报告 Docker 的 问题 


让 我 们 从 基本 的 提交 问题 和 补丁 以 及 与 Docker 社 区 进行 互动 开始 。 在 
提交 Docker 问 题 外 的 时 候 ， 要 牢记 我 们 要 做 一 个 良好 的 开源 社区 公 
民 ， 为 了 帮助 社区 解决 你 的 问题 ， 一 定 要 提供 有 用 的 信息 。 当 你 摘 壕 
一 个 问题 的 上 时候， 记 住 要 包含 如 下 背景 信息 : 


e docker info 和 docker version 命令 的 输出 ; 
。Uname -a 命令 的 输出 。 


然后 还 需要 提供 关于 你 遇 到 的 问题 的 具体 说 明 ， 以 及 别人 能 够 重 现 该 
问题 的 详细 步骤 。 


如 采 你 描述 的 是 一 个 功能 需求 ， 那 么 需要 仔细 解释 你 想 要 的 是 什么 以 
及 你 硕 望 它 将 是 如 何 工 作 的 。 请 仔细 考虑 更 通用 的 用 例 : 你 的 新 功 能 
只 能 帮助 你 目 己 ， 还 是 能 帮助 每 一 个 人 ? 


在 提交 新 问题 之 前 ， 请 花 点 儿 时 间 确 认 问 题库 里 没有 和 你 的 bug 报告 或 
者 功能 需求 一 样 的 问题 。 如 末 已 经 有 类 似 问题 了 ， 那 么 你 整 可 以 简单 
地 添加 一 个 “+1” 或 者 “我 也 有 类 似 问题 * 的 说 明 ， 如 果 你 觉得 你 的 输入 
I 你 可 以 添加 额外 的 有 实际 意义 的 更 
7 o 


9.3 ”搭建 构建 环境 


为 了 使 为 Docker 做 出 贡献 更 容易 ， 我 们 接 下 来 会 介绍 如 何 构 建 一 个 
Docker 开 发 环境 。 这 个 开发 环境 提供 了 所 有 为 了 让 Docker 工 作 而 必需 
的 依赖 和 构建 工具 。 

9.3.1 ”安装 Docker 

为 了 建立 开发 环境 ， 用 户 必须 先 安 装 Docker， 因 为 构建 环境 本 壬 就 在 


一 个 Docker 容 器 里 面 。 我 们 将 使 用 Docker 来 构建 和 开发 Docker。 请 参 
照 第 2 章 的 内 容 安装 Docker， 应 该 安装 当前 最 新 版 的 Docker 。 


9.3.2 ”安装 源 代码 和 构建 工具 

接着 ， 需 要 安装 Make 和 Git， 这 样 束 可 以 检 出 Docker 的 源 代码 并 且 运 行 
构建 过 程 。Docker 的 源 代码 都 保存 在 GitHub 上 ， 而 构建 过 程 则 围绕 着 
Makefile 来 进行 。 

在 Ubuntu 上 ， 使 用 代码 清单 9-1 所 示 的 命令 安装 git 包 。 


代码 清单 9-1 在 Ubuntu 上 安装 git 


$ sudo apt-get -y install git make 


在 Red Hat 及 其 衍生 版 本 上 使 用 代码 清单 9-2 所 示 的 命令 。 


代码 清单 9-2 在 Red Hat 及 其 相关 衍生 版 本 上 安装 git 


$ sudo yum install git make 


9.3.3” 检 出 源 代码 


现在 让 我 们 检 出 (checkout) Docker 的 源 代 码 (如 果 是 在 Docker 其 他 
模块 上 工作 ， 请 选择 对 应 的 源 代 码 仓库 ) ， 并 换 到 源 代 码 所 在 目录 ， 
如 代码 清单 9-3 所 示 。 


代码 清单 9-3 Check out Docker 源 代码 


$ git clone <a>https://github.com/docker/docker .git</a> 
$ cd docker 


IEW FY LAE Docker (08S EIT L FAME Ebug ` BTS E 
非常 棒 的 新 功能 了 。 


9.3.4 ”贡献 文档 

让 人 兴 否 的 是 ， 任 何人 ， 即 使 他 不 是 开发 者 或 者 不 精通 Go 语言 ， 都 可 
以 通过 更 新 、 增 强 或 编写 新 文档 的 方式 为 回 Docker 做 出 贡献 。Docker 
文档 Ul 都 在 Docker 官 方 网 站 上 上。 文档 的 源 代码 、 主 题 以 及 用 来 生成 

官方 文档 网 站 的 工具 都 保存 在 在 GitHub 上 的 Docker 仓 库 HH H o 


可 以 在 https:Wgithub.comy/dockerdockervblob/masterdocs/README.md 
找到 关于 Docker 文 档 的 具体 指导 方针 和 基本 风格 指南 。 


可 以 在 本 地 使 用 Docker 本 身 来 构建 整个 文档 。 


在 对 文档 源 代码 进行 了 一 些 修改 之 后 ， 可 以 使 用 make 命令 来 构建 文 
档 ， 如 代码 清单 9-4 所 示 。 


代码 清单 9-4 构建 Docker 文 档 


$ cd docker 
$ make docs 


docker run --rm -it -e AWS_S3_BUCKET -p 8000:8000 "docker - 
docs:master" 
mkdocs serve 
Running at: http://0.0.0.0:8000/ 
Live reload enabled. 
Hold ctrl+c to quit. 


Jaw A] LED Ear FT 78080 端口 来 得 看 本 地 版 本 的 Docker 文 档 
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9.3.5 ”构建 开发 环境 


如 有 条 不 只 十 满足 于 为 Docker 的 文档 做 出 贡献 ， 可 以 使 用 make 和 
Docker 来 构建 一 个 开发 环境 ， 如 代码 清单 9-5 所 示 。 在 Docker 的 源 代码 
中 附带 了 一 个 Dockerfile 文件 ， 我 们 使 用 这 个 文件 来 安装 所 有 必需 
的 编译 和 运行 时 依赖 ， 来 构建 和 测试 Docker 。 


代码 清单 9-5 ”构建 Docker 环 境 


$ sudo make build 


ED 如 果 是 第 一 次 执行 这 个 命令 ， 要 完成 这 个 过 程 将 会 花费 较 长 的 时 间 。 


上 面 的 命令 会 创建 一 个 完整 的 运行 着 的 Docker 开 发 环境 。 它 会 将 当前 
的 源 代 码 目 录 作 为 构建 上 下 文 (build context) 上 传 到 一 个 Docker 镜 
像 ， 这 个 镜像 包含 了 Go 和 其 他 所 有 必需 的 依赖 ， 之 后 会 基于 这 个 镜像 


局 动 一 个 容器 。 


使 用 这 个 开发 镜像 ， 也 可 以 创建 一 个 Docker 可 执行 程序 来 测试 任何 bug 
修正 或 新 功能 ， 如 代码 清单 9-6 所 示 。 这 里 我 们 又 用 到 了 make 工具 。 


代码 清单 9-6 构建 Docker 可 执行 程序 


$ sudo make binary 


这 条 命令 将 会 创建 Docker 可 执行 文件 ， 该 文件 保存 
在 ./bundles/&lt;version&gt;-dev/binary/ 卷 中 。 比 如 ， 在 
这 个 例子 里 我 们 得 到 的 结果 如 代码 清单 9-7 所 示 。 


代码 清单 9-7 ”dev 版 本 的 Docker dev 可 执行 程序 


$ ls -1 ~/docker/bundles/1.0.1-dev/binary/docker 
lrwxrwxrwx 1 root root 16 Jun 29 19:53 ~/docker/bundles/1.7.1- 
dev/binary/ 


docker -> docker-1.7.1-dev 


之 后 职 可 以 使 用 这 个 可 执行 程序 进行 测试 了 ， 方 法 是 运行 它 而 不 是 运 
行 本 地 Docker 守 护 进 程 。 为 此 ， 我 们 需要 先 停止 之 前 的 Docker 然 后 再 
运行 这 个 新 的 Docker 可 执行 程序 ， 如 代码 清单 9-8 所 示 。 


代码 清单 9-8 ”使 用 开发 版 的 Docker 守 护 进 各 


下 


HO 


F 


$ sudo service docker stop 
$ ~/docker/bundles/1.7.1-dev/binary/docker -d 


这 会 以 交互 的 方式 运行 开发 版 本 Docker 守 护 进程 。 但 是 ， 如 果 你 愿意 
的 话 也 可 以 将 守护 进程 放 到 后 合 。 


接着 我 们 束 可 以 使 用 新 的 Docker 可 执行 程序 来 和 刚刚 局 动 的 Docker 守 
护 进程 进行 交互 操作 了 ， 如 代码 清单 9-9 所 示 。 


代码 清单 9-9 ”使 用 开发 版 的 docker 可 执行 文件 


$ ~/docker/bundles/1.7.1-dev/binary/docker version 
Client version: 1.7.1-dev 
Client API version: 1.19 


Go version (client): go1.2.1 
Git commit (client): d37c9a4 
Server version: 1.7.1-dev 
Server API version: 1.19 

Go version (server): go1.2.1 


Git commit (server): d37c9a 


可 以 看 到 ， 我 们 正在 运行 版 本 为 1.0.1-dev 的 客户 端 ， 这 个 客户 端 
正好 和 我 们 刚 局 动 的 1.9.1-dev 版 本 的 守护 进程 相对 应 。 可 以 通过 
这 种 组 合 来 测试 和 确保 对 Docker 所 做 的 所 有 修改 都 能 正常 工作 。 


9.3.6 “运行 测试 


在 提交 页 献 代 码 之 前 ， 确 保 所 有 的 Docker 测 试 都 能 通过 也 是 非常 重要 
的 。 为 了 运行 所 有 Docker 的 测试 ， 需 要 执行 代码 清单 9-10 所 示 的 命 


A 


代码 清单 9-10 ”运行 Docker 测 试 


$ sudo make test 


这 条 命令 也 会 将 当前 代码 作为 构建 上 下 文 上 传 到 镜像 并 创建 一 个 新 的 
开发 镜像 。 之 后 会 基于 此 镜像 局 动 一 个 容 右 ， 并 在 该 容器 中 运行 测试 
代码 。 同 样 ， 如 采 是 第 一 次 做 这 个 操作 ， 那 么 也 将 会 花费 一 些 时 间 。 


如 果 所 有 的 测试 都 通过 的 话 ， 那 么 该 命令 输出 的 最 后 部 分 看 起 来 会 如 
代码 清单 9-11 所 示 。 


代码 清单 9-11 ”Dcoker 测 试 输出 结果 


[PASSED]: save - save a repo using stdout 

[PASSED]: load - load a repo using stdout 

[PASSED]: save - save a repo using -0 

[PASSED]: load - load a repo using -i 

[PASSED]: tag - busybox -> testfoobarbaz 

[PASSED]: tag - busybox's image ID -> testfoobarbaz 

[PASSED]: tag - busybox fooo/bar 

[PASSED]: tag - busybox fooaa/test 

[PASSED]: top - sleep process should be listed in non privileged 


[PASSED]: top - sleep process should be listed in privileged mode 
[PASSED]: version - verify that it works and that the output is 


formatted 
PASS 


PASS github.com/docker/docker/integration-cli 


ED FLL EME GIRS STESTFLAGS 环境 变量 来 传递 参数 。 


9.3.7 ”在 开发 环境 中 使 用 Docker 


178.685s 


EA DATETIME Ae PAI — TRANS, WTSI 9-12 


所 示 。 
代码 清 六 


上 9-12 


启 


动 交 互 式 会 话 


$ sudo make shell 


要 想 从 容器 中 退出 ， 可 以 输入 exit 或 者 Ctrl+D。 


9.3.8 ”发 起 pull request 


如 果 对 自己 所 做 的 文档 更 新 、bug 修 正 或 者 新 功能 开发 非常 满意 ， 你 束 
可 以 在 GitHub 上 为 你 的 修改 提交 一 个 pull request ° H T pull 
request， 需 要 已 经 fork 了 Docker 仓 库 ， 并 在 你 上 自己 的 功能 分 支 上 进行 修 


改 。 


。 如 条 是 一 个 bug 修 正 分 文 ， 那 么 分 文 名 为 XXXX-Ssomething ， 这 


里 的 XXXX 为 该 问题 的 编号 。 


。 如 有 果 是 一 个 新 功能 开发 分 文 ， 那 么 需要 先 创 建 一 个 狐 功 能 问题 宣 
布 你 都 要 干什么 ， 并 将 分 支 命 名 为 XXXX-something ， 这 里 的 


XXXX 也 是 该 问题 的 编号 。 


你 必须 同时 提交 针对 你 所 做 修改 的 单元 测试 代码 。 可 以 参考 一 下 既 有 
的 测试 代码 来 寻找 一 些 灵 感 。 在 提交 pull redquest 之 前 ， 你 还 需要 在 目 


己 的 分 文 上 运行 完整 的 测试 集 。 


任何 包含 新 功能 的 pull request 都 必须 同时 包括 更 新 过 的 文档 。 在 提交 
pull request 之 前 ， 应 该 使 用 上 面 提 到 的 流程 来 测试 你 对 文档 所 做 的 修 
改 。 当 然 你 也 需要 遵循 一 些 其 他 的 使 用 指南 (如 上 面 提 到 的 ) 。 


我 们 有 以 下 一 些 简单 的 规则 ， 遵 守 这 些 规 则 有 助 于 你 的 pull request 
尽快 被 评审 (review) 和 合并 。 


。 在 提交 代码 之 前 必须 总 是 对 每 个 被 修改 的 文件 运行 gofmt -s - 
w file.go。 这 将 保证 代码 的 一 致 性 和 整洁 性 。 

pull request 的 描述 信息 应 该 尽 可 能 清晰 ， 并 且 包 括 到 该 修改 解决 
的 所 有 问题 的 引用 。 

pull request 不 能 包括 来 自 其 他 人 或 者 分 支 的 代码 。 

是 交 注 释 (commit message) 必须 包括 一 个 以 大 写字 母 开头 且 长 
度 在 50 字 符 之 内 的 简明 扼要 的 说 明 ， 人 简要 说 明 后 面 可 以 跟 一 段 更 
详细 的 说 明 ， 详 细 说 明和 人 答 要 说 明之 间 需 要 用 空 行 隅 开 。 

通过 git rebase -i 和 git push -f 尽 量 将 你 的 提交 集中 到 
一 个 逻辑 可 工作 单元 。 同 时 对 文档 的 修改 也 应 该 放 到 同一 个 提交 
中 ， 这 样 在 撤销 (revert) 提交 时 ， 可 以 将 所 有 与 新 功能 或 者 bug 
修正 相关 的 信息 全 部 删除 。 


最 后 需要 注意 的 是 ，Docker 项 目 采 用 了 开发 者 原 产 证 明 书 (Developer 
Certificate of Origin, DCO) 机 制 ， 以 确认 你 所 提交 的 代码 都 是 你 自己 
写 的 或 者 你 有 权 将 其 以 开源 的 方式 发 布 。 你 可 以 阅读 一 篇 文章 UAT R 

了 解 一 下 我 们 为 什么 要 这 么 做 。 应 用 这 个 证 书 非常 答 单 ， 你 需要 做 的 
只 是 在 每 个 Git 提 区 消息 中 添加 如 代码 清单 9-13 所 示 的 一 行 而 已 。 


代码 清单 9-13 Docker DCO 


Docker-DCO-1.1-Signed-off-by: Joe Smith <joe.smith@email.com> 
(github: 


github_hand1le) 


EJJA UPAR OCHRE HFRS, RIIE RRE MESA 。 
关于 签名 (signing) 的 需求 ， 这 里 也 有 几 个 小 例外 ， 有 具体 如 下 。 


。 你 的 补丁 修改 的 是 拼写 或 者 语法 错误 。 
。 你 的 补丁 只 修改 了 docs 目 孙 下 的 文档 的 一 行 。 
。 你 的 补丁 修改 了 docs 目录 下 的 文档 中 的 Markdown 格 式 或 者 语法 


HR 


还 有 一 种 对 Git 提 交 进 行 签 名 的 更 简单 的 方式 是 使 用 git commit -s 


AA’ 


EZ Docker -DCO-1.1-Signed-of f-by 方式 现在 还 能 继续 使 用 ， 不 过 在 以 后 的 贡 
献 中 ， 还 是 请 使 用 这 种 方法 。 


9.3.9 ”批准 合并 和 维护 者 


在 提交 了 pull request 之 后 ， 首 先 要 经 过 评审 ， 你 也 可 能 会 收 到 一 些 反 
馈 。Docker 采 用 了 与 Linux 内 核 维护 者 类 似 的 机 制 。Docker 的 每 个 组 件 
都 有 一 个 或 者 若干 个 维护 者 ， 维 护 者 负责 该 组 件 的 质量 、 稳 定性 以 及 
未 来 的 发 展 方 铝 。 维 护 者 的 背后 则 是 仁慈 的 独裁 者 兼 首 友 维护 者 
Solomon Hykes H?! ， 他 是 唯一 一 个 权利 凌 芍 于 其 他 维护 者 之 上 的 人 ， 
他 也 全 权 负 责任 命 新 的 维护 考 。 


Docker 的 维护 者 通过 在 代码 评审 中 使 用 LGTM (Looks Good To Me) 注 
解 来 表示 接受 此 pull request。 变 更 要 想 获 得 通过 ， 需 要 受 影响 的 每 个 
组 件 的 绝对 多 数 维护 者 〈 或 者 对 于 文档 ， 至 少 两 位 维护 者 ) 都 认为 
LGTM 才 行 。 比 如 ， 如 果 一 个 变更 影响 到 了 docs/ 和 registry/ 两 
个 模块 ， 那 么 这 个 变更 就 需要 获得 docs/ 的 两 个 拥护 者 和 
registry/ 的 绝对 多 数 维 护 者 的 同意 。 


包 弛 可 以 可 看 维护 者 工作 流程 手册 04 来 了 解 更 多 关于 维护 者 的 详细 信息 。 


9.4 小 结 


在 本 章 中 ， 我 们 学 习 了 如 何 获得 Docker 帮 助 ， 以 及 有 用 的 Docker 社 区 
成 员 和 开发 者 聚集 的 地 方 。 我 们 也 学 习 了 记录 Docker 问 题 的 最 佳 方 
法 ， 包 括 各 种 要 提供 的 必要 信息 ， 以 帮 你 得 到 最 好 的 反馈 。 


我 们 也 看 到 了 如 何 配 置 一 个 开发 环境 来 修改 Docker 源 代码 或 者 文档 ， 
以 及 如 何在 开发 环境 中 进行 构建 和 测试 ， 以 保证 目 己 所 做 的 修改 或 者 
新 功能 能 正常 工作 。 最 后 ， 我 们 学 习 了 如 何 为 你 的 修改 创建 一 个 结构 
展 好 且 品 质 优秀 的 pull request 。 
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[12] — http://blog.docker.com/2014/01/docker-code-contributions-require- 
developer-certificate-of-origin/ 


[13] — https://github.com/shykes 


[14] 
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如 有 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@epubit.com.cn， 会 有 编 
辑 或 作 译 者 协助 答疑 。 也 可 访问 异步 社区 ， 参 与 本 书 讨论 。 


如 采 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebook@epubit.com.cn ° 

在 这 里 可 以 找到 我 们 : 
。 微 博 : @ 人 邮 异 步 社 区 
e QQ 群 : 368449889 
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